Se presume que un grupo de hackers norcoreanos tienen como objetivo las máquinas con MacOS de Expertos en Criptomonedas.
Se ha descubierto que actores de amenazas patrocinados por el estado de la República Popular Democrática de Corea (RPDC) atacan a los ingenieros de blockchain de una plataforma de intercambio de cifrado anónima a través de Discord con un novedoso malware para macOS denominado KANDYKORN .
Elastic Security Labs dijo que la actividad, que se remonta a abril de 2023, muestra superposiciones con el infame colectivo adversario Lazarus Group , citando un análisis de la infraestructura de red y las técnicas utilizadas.
No es la primera vez.
Esta no es la primera vez que el Grupo Lazarus aprovecha el malware macOS en sus ataques. A principios de este año, se observó al actor de amenazas distribuyendo una aplicación PDF con puerta trasera que culminó con la implementación de RustBucket , una puerta trasera basada en AppleScript capaz de recuperar una carga útil de segunda etapa desde un servidor remoto.
Lo que hace que la nueva campaña se destaque es la suplantación por parte del atacante de ingenieros de blockchain en un servidor público de Discord, empleando señuelos de ingeniería social para engañar a las víctimas para que descarguen y ejecuten un archivo ZIP que contiene código malicioso.
Ejemplo: Una posible víctima cree que está instalando un bot de arbitraje criptográfico, que es una herramienta de software capaz de sacar provecho de las diferencias en las tasas de criptomonedas entre plataformas. Eso es aprovechado por los ciber atacantes y es parte de la cadena de ataque del malware KANDYKORN.
KANDYKORN es una forma de implantar de forma avanzada un malware que tiene una variedad de capacidades para monitorear, interactuar y evitar la detección del ataque.
Modus Operandi
El punto de partida es un script de Python (watcher.py), que recupera otro script de Python (testSpeed.py) alojado en Google Drive. Este Dropper, por su parte, recupera un archivo Python más de una URL de Google Drive, llamado FinderTools.
FinderTools también funciona como un Dropper, descargando y ejecutando una carga útil oculta de segunda etapa denominada SUGARLOADER (/Users/shared/.sld y .log) que finalmente se conecta a un servidor remoto para recuperar KANDYKORN y ejecutarlo directamente en la memoria.
SUGARLOADER también es responsable de lanzar un binario autofirmado basado en Swift conocido como HLOADER que intenta hacerse pasar por la aplicación Discord legítima y ejecuta .log (es decir, SUGARLOADER) para lograr persistencia utilizando un método llamado secuestro de flujo de ejecución .
KANDYKORN, que es la carga útil de la etapa final, es una RAT (Troyano de Acceso Remoto) residente en memoria con todas las funciones y capacidades integradas para enumerar archivos, ejecutar malware adicional, filtrar datos, finalizar procesos y ejecutar comandos arbitrarios.
Double Click
A medida que las técnicas de ataque van avanzando, abren la puerta a otras amenazas y otros objetivos. La era en que las máquinas con MacOS eran inmune a los ataques dejo de ser una realidad y da paso a que usuarios/personas, consideren los potenciales riesgos de a los cuales están expuetos. Cada día aparecen nuevas formas de vulnerar los sistemas apple lo que da pie a nuevas posibles fraudes.
Tanto como empresas y usuarios, deben considerar mantener sus sistemas al día y con las protecciones adecuadas para evitar cualquier vulneración y/o perdida de datos.
