Pesquisadores de segurança identificaram uma tentativa de hackers patrocinados pelo Estado da República Popular Democrática da Coreia (RPDC) de infectar engenheiros de blockchain pertencentes a uma plataforma de troca de criptografia não revelada com uma nova forma de malware macOS.
Em 31 de outubro, Laboratórios de segurança elástica divulgou a intrusão, que usa recursos personalizados e de código aberto para acesso inicial e pós-exploração no Mac, tudo começando com Discord…
A Elastic chama essa forma de malware macOS de “Kandykorn”, rastreado como REF7001, e atribui sua existência à infame empresa de crimes cibernéticos da RPDC, Lazarus Group, após encontrar sobreposições na infraestrutura de rede e nas técnicas usadas.
Os hackers do Lazarus usaram o Discord para se passar por membros da comunidade de engenharia blockchain, convencendo-os a baixar e descompactar um arquivo ZIP contendo código Python malicioso (Kandykorn). Enquanto isso, as vítimas acreditavam que estavam instalando um bot de arbitragem para lucrar com as diferenças nas taxas de criptomoeda.
“Kandykorn é um implante avançado com vários recursos para monitorar, interagir e evitar detecção”, afirmaram pesquisadores da Elastic na terça-feira. “Ele utiliza carregamento reflexivo, uma forma de execução de memória direta que pode ignorar as detecções.”
O fluxo de execução do REF7001 consiste em cinco etapas:
- Compromisso inicial: Os atores de ameaças têm como alvo os engenheiros de blockchain com o aplicativo Python de bot de arbitragem camuflado chamado Watcher.py. Ele é distribuído em um arquivo .zip intitulado “Cross-Platform Bridges.zip”.
- Conexão de rede: Se a vítima instalar com sucesso o código Python malicioso, uma conexão de rede de saída será estabelecida para intermediar scripts dropper para baixar e executar o Sugerloader.
- Carga útil: O binário ofuscado, Sugarloader, é usado para acesso inicial no sistema macOS e inicializa para o estágio final.
- Persistência: O Hloader, que se disfarça como o aplicativo Discord real, agora é lançado junto com ele para estabelecer persistência para o Sugarloader.
- Execução: Kandykorn, capaz de acessar e exfiltrar dados, aguarda comandos do servidor C2.
Kandykorn, a carga útil de estágio final, é um RAT residente na memória completo com recursos integrados para executar comandos arbitrários, executar malware adicional, exfiltrar dados e eliminar processos. O malware macOS se comunica com hackers do Grupo Lazarus usando servidores de comando e controle (C2) com criptografia de dados RC4.
“As ações exibidas pelo Lazarus Group mostram que o ator não tem intenção de desacelerar seu direcionamento a empresas e indivíduos que possuem criptomoedas”, disse Jaron Bradley, diretor do Jamf Threat Labs e parte da equipe por trás da descoberta de um forma semelhante de malware macOS no início deste ano.
“Eles também continuam a mostrar que não faltam novos malwares no bolso e familiaridade com técnicas avançadas de ataque. Continuamos a vê-los chegar diretamente às vítimas usando diferentes tecnologias de chat. É aqui que eles constroem confiança antes de induzi-los a executar software malicioso”, afirma Bradley.
Kandykorn ainda é uma ameaça ativa e as ferramentas e técnicas estão em constante evolução. Os laboratórios de segurança elástica redação técnica fornece muitos detalhes sobre essa intrusão, incluindo trechos de código e capturas de tela.
Siga Arin: Twitter/X, LinkedIn, Tópicos
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
