Pesquisadores de segurança identificaram uma tentativa de hackers patrocinados pelo Estado da República Popular Democrática da Coreia (RPDC) de infectar engenheiros de blockchain pertencentes a uma plataforma de troca de criptografia não revelada com uma novidade forma de malware macOS.
Em 31 de outubro, o Elastic Security Labs divulgou a intrusão, que usa recursos personalizados e de código ingénuo para entrada inicial e pós-exploração no Mac, tudo começando com Discord…
A Elastic labareda essa forma de malware macOS de “Kandykorn”, rastreado porquê REF7001, e atribui sua existência à infame empresa de crimes cibernéticos da RPDC, Lazarus Group, depois encontrar sobreposições na infraestrutura de rede e nas técnicas usadas.
É importante observar que, embora levante seja um ataque sério e possa passar despercebido, é um caso extremo com o qual a maioria das pessoas não precisa se preocupar.
Os hackers do Lazarus usaram o Discord para se passar por membros da comunidade de engenharia blockchain, convencendo-os a subtrair e descompactar um registro ZIP contendo código Python malicioso (Kandykorn). Enquanto isso, as vítimas acreditavam que estavam instalando um bot de arbitragem para lucrar com as diferenças nas taxas de criptomoeda.
“Kandykorn é um implante avançado com vários recursos para monitorar, interagir e evitar detecção”, afirmaram pesquisadores da Elastic na terça-feira. “Ele utiliza carregamento reflexivo, uma forma de realização de memória direta que pode ignorar as detecções.”
O fluxo de realização do REF7001 consiste em cinco etapas:
- Compromisso inicial: Os atores de ameaças têm porquê branco os engenheiros de blockchain com o aplicativo Python de bot de arbitragem camuflado chamado Watcher.py. Ele é distribuído em um registro .zip intitulado “Cross-Platform Bridges.zip”.
- Conexão de rede: Se a vítima instalar com sucesso o código Python malicioso, uma conexão de rede de saída será estabelecida para intermediar scripts dropper para subtrair e executar o Sugerloader.
- Fardo útil: O binário ofuscado, Sugarloader, é usado para entrada inicial no sistema macOS e inicializa para o estágio final.
- Persistência: O Hloader, que se disfarça porquê o aplicativo Discord real, agora é lançado junto com ele para estabelecer persistência para o Sugarloader.
- Realização: Kandykorn, capaz de acessar e exfiltrar dados, aguarda comandos do servidor C2.
Kandykorn, a fardo útil de estágio final, é um RAT residente na memória completo com recursos integrados para executar comandos arbitrários, executar malware suplementar, exfiltrar dados e expulsar processos. O malware macOS se comunica com hackers do Grupo Lazarus usando servidores de comando e controle (C2) com criptografia de dados RC4.
“As ações exibidas pelo Lazarus Group mostram que o ator não tem intenção de desacelerar seu direcionamento a empresas e indivíduos que possuem criptomoedas”, disse Jaron Bradley, diretor do Jamf Threat Labs e segmento da equipe por trás da invenção de um forma semelhante de malware macOS no início deste ano.
“Eles também continuam a mostrar que não faltam novos malwares no bolso e privança com técnicas avançadas de ataque. Continuamos a vê-los chegar diretamente às vítimas usando diferentes tecnologias de chat. É cá que eles constroem crédito antes de induzi-los a executar software malicioso”, afirma Bradley.
Kandykorn ainda é uma ameaço ativa e as ferramentas e técnicas estão em permanente evolução. O item técnico do Elastic Security Labs fornece muitos detalhes sobre essa intrusão, incluindo trechos de código e capturas de tela.
Siga Arin: Twitter/XLinkedIn, Tópicos
