Kandykorn Malware

Se ha identificado que los ciberatacantes apoyados por el gobierno de la República Popular Democrática de Corea (RPDC) apuntan a expertos en blockchain asociados con una plataforma de intercambio de criptomonedas no especificada a través de la plataforma de mensajería Discord. Han empleado un nuevo malware para macOS llamado KANDYKORN. Esta operación amenazadora se remonta a abril de 2023 y comparte similitudes con el notorio grupo de hackers conocido como Lazarus Group , como lo indica un examen de la infraestructura de red y las tácticas utilizadas.

Los atacantes atrajeron a los profesionales de blockchain utilizando una aplicación Python para establecer un punto de apoyo inicial dentro del entorno objetivo. La intrusión consistió en múltiples fases intrincadas, cada una de las cuales incorporó técnicas deliberadas para evadir la detección y eludir las medidas de seguridad.

Los actores de amenazas utilizaron señuelos de ingeniería social para implementar el malware Kandykorn

La utilización de malware macOS por parte del Grupo Lazarus en sus operaciones no es un desarrollo reciente. El año pasado, se observó a este actor de amenazas difundiendo una aplicación PDF manipulada, lo que finalmente condujo a la implementación de RustBucket, una puerta trasera basada en AppleScript. RustBucket tenía la capacidad de recuperar una carga útil de segunda etapa desde un servidor remoto.

Lo que distingue a la nueva campaña es la táctica del atacante de hacerse pasar por ingenieros de blockchain en un servidor público de Discord y emplear técnicas de ingeniería social para engañar a las víctimas para que descarguen y ejecuten un archivo ZIP que contiene código malicioso.

A las víctimas se les hace creer que están instalando un robot de arbitraje, una herramienta de software que puede explotar las diferencias en las tasas de criptomonedas entre plataformas para obtener ganancias. En realidad, este proceso engañoso prepara el escenario para la entrega de KANDYKORN, que se desarrolla a través de una progresión de cinco etapas.

Una cadena de infección de varias etapas facilita la infección del malware Kandykorn

KANDYKORN representa un sofisticado implante dotado de una amplia gama de funcionalidades diseñadas para el seguimiento, la interacción y la evasión de detección. Emplea carga reflectante, un método de ejecución de memoria directa que potencialmente puede evadir los mecanismos de detección.

El paso inicial de este proceso implica un script de Python, conocido como 'watcher.py', que recupera otro script de Python, 'testSpeed.py', alojado en Google Drive. Este segundo script de Python actúa como un cuentagotas y recupera un archivo Python adicional de una URL de Google Drive, llamado "FinderTools".

FinderTools también sirve como cuentagotas, responsable de descargar y ejecutar una carga útil oculta de segunda etapa denominada 'SUGARLOADER' (ubicada en /Users/shared/.sld y .log). Posteriormente, SUGARLOADER establece una conexión con un servidor remoto para recuperar KANDYKORN y ejecutarlo directamente en la memoria.

SUGARLOADER asume una función adicional al lanzar un binario autofirmado basado en Swift llamado 'HLOADER', que intenta hacerse pasar por la aplicación Discord legítima y ejecutar '.log' (es decir, SUGARLOADER) para lograr persistencia a través de una técnica conocida como ejecución. secuestro de flujo.

KANDYKORN, que actúa como carga útil definitiva, es un troyano de acceso remoto (RAT) residente en memoria con todas las funciones y capacidades inherentes para enumerar archivos, ejecutar malware adicional, filtrar datos, finalizar procesos y ejecutar comandos arbitrarios.

La presencia de KANDYKORN subraya los continuos esfuerzos de la RPDC, particularmente a través de entidades como el Grupo Lazarus, para apuntar a negocios relacionados con criptomonedas. Su objetivo principal es robar criptomonedas para eludir las sanciones internacionales que impiden el crecimiento de su economía y sus aspiraciones.