Investigadores de seguridad han identificado un intento de piratas informáticos patrocinados por el estado de la República Popular Democrática de Corea (RPDC) de infectar a los ingenieros de blockchain que pertenecen a una plataforma de intercambio de cifrado no revelada con una nueva forma de malware macOS.
El 31 de octubre, Elastic Security Labs reveló la intrusión, que utiliza capacidades personalizadas y de código abierto para el acceso inicial y la post-explotación en Mac, todo comenzando con Discord…
Elastic llama a esta forma de malware para macOS “Kandykorn”, rastreado como REF7001, y atribuye su existencia a la infame empresa de cibercrimen de la RPDC, Lazarus Group, después de encontrar superposiciones en la infraestructura de red y las técnicas utilizadas.
Es importante tener en cuenta que, si bien se trata de un ataque grave y puede pasar desapercibido, es un caso extremo del que la mayoría de la gente no tiene que preocuparse.
Los piratas informáticos de Lazarus utilizaron Discord para hacerse pasar por miembros de la comunidad de ingeniería blockchain, convenciéndolos de descargar y descomprimir un archivo ZIP que contenía código Python malicioso (Kandykorn). Mientras tanto, las víctimas creían que estaban instalando un robot de arbitraje para beneficiarse de las diferencias en las tasas de las criptomonedas.
“Kandykorn es un implante avanzado con varias capacidades para monitorear, interactuar y evitar la detección”, afirmaron el martes investigadores de Elastic. “Utiliza carga reflectante, una forma de ejecución de memoria directa que puede evitar las detecciones”.
El flujo de ejecución de REF7001 consta de cinco etapas:
Compromiso inicial: los actores de amenazas apuntan a los ingenieros de blockchain con la aplicación Python del robot de arbitraje camuflado llamada Watcher.py. Esto se distribuye en un archivo .zip titulado “Cross-Platform Bridges.zip”.
Conexión de red: si la víctima instala con éxito el código Python malicioso, se establece una conexión de red saliente para los scripts dropper intermedios para descargar y ejecutar Sugerloader.
Carga útil: el binario ofuscado, Sugarloader, se utiliza para el acceso inicial en el sistema macOS y se inicializa para la etapa final.
Persistencia: Hloader, que se disfraza de la aplicación Discord real, ahora se inicia junto con ella para establecer la persistencia de Sugarloader.
Ejecución: Kandykorn, capaz de acceder y filtrar datos, espera comandos del servidor C2.
Kandykorn, la carga útil de la etapa final, es una RAT residente en memoria con todas las funciones y capacidades integradas para ejecutar comandos arbitrarios, ejecutar malware adicional, filtrar datos y eliminar procesos. El malware macOS se comunica con los piratas informáticos del Grupo Lazarus mediante servidores de comando y control (C2) con cifrado de datos RC4.
“Las acciones mostradas por Lazarus Group muestran que el actor no tiene la intención de frenar su ataque a empresas e individuos que poseen criptomonedas”, dice Jaron Bradley, director de Jamf Threat Labs y parte del equipo detrás del descubrimiento de una forma similar de malware para macOS a principios de este año.
“También continúan demostrando que no les falta nuevo malware en su bolsillo y familiaridad con técnicas avanzadas de ataque. Seguimos viéndolos comunicarse directamente con las víctimas utilizando diferentes tecnologías de chat. Es aquí donde generan confianza antes de engañarlos para que ejecuten software malicioso”, afirma Bradley.
Kandykorn sigue siendo una amenaza activa y las herramientas y técnicas evolucionan continuamente. El artículo técnico de Elastic Security Labs proporciona amplios detalles sobre esta intrusión, incluidos fragmentos de código y capturas de pantalla.
