Des pirates informatiques parrainés par l'État nord-coréen ont ciblé les ingénieurs de la blockchain à partir d'un échange de crypto-monnaie anonyme via Discord. Ces développeurs ont été ciblés par un nouveau malware macOS connu sous le nom de KANDYKORN.
Selonun rapportSelon les chercheurs en cybersécurité Ricardo Ungureanu, Seth Goodwin et Andrew Pease, les acteurs de la menace ont attiré les ingénieurs de la blockchain en utilisant une application Python pour sécuriser l'accès initial à l'environnement de piratage.
Les chercheurs ont affirmé,
"Cette intrusion impliquait plusieurs étapes complexes qui utilisaient chacune des techniques d'évasion de défense délibérées"
Ce n’est pas la première fois que le groupe Lazarus utilise le malware macOS pour mener des campagnes de piratage.
Plus tôt cette année, le groupe d'acteurs menaçants a été détecté en train de distribuer une application PDF détournée, ce qui a conduit au déploiement de RustBucket. RustBucket est une porte dérobée basée sur AppleScript. La porte dérobée est utilisée pour récupérer la charge utile de deuxième étape à partir de serveurs distants.
Cette campagne de piratage est unique en raison de la manière dont les acteurs malveillants se sont fait passer pour des ingénieurs de la blockchain au sein d'un serveur Discord public. Les pirates ont également utilisé des techniques d'ingénierie sociale pour inciter les victimes à télécharger et à exécuter une archive ZIP contenant un code malveillant.
Les chercheurs ont déclaré que les victimes avaient été amenées à installer un robot d’arbitrage. Les traders de crypto-monnaie utilisent ce robot pour profiter des différences de taux de crypto-monnaie entre les plateformes.
Les chercheurs ont noté,
KANDYKORN est un implant avancé doté de diverses capacités pour surveiller, interagir avec et éviter la détection. Il utilise le chargement par réflexion, une forme d'exécution en mémoire directe qui peut contourner les détections.
Comment fonctionne le logiciel malveillant
Le malwarecommence par un script Python qui récupère un autre script Python hébergé sur Google Drive. Le compte-gouttes collecte un fichier Python supplémentaire à partir d'une URL Google Drive connue sous le nom de FinderTools.
FinderTools fonctionne également comme un compte-gouttes pour télécharger et exécuter une charge utile cachée de deuxième étape connue sous le nom de SUGARLOADER. Cette charge utile se connectera à un serveur distant pour récupérer KANDYKORN et exécuter ce malware directement en mémoire.
Le malware SUGARLOADER lance un binaire auto-signé appelé HLOADER. Ce binaire fonctionne comme l'application Discord légitime pour assurer la persistance en utilisant le détournement du flux d'exécution.
KANDYKORN est déployé en tant que charge utile de dernière étape et est livré avec un RAT résident en mémoire complet. Il contient également des fonctionnalités intégrées pour une énumération fine, l'exécution de logiciels malveillants supplémentaires, l'exfiltration de données, la terminaison de processus et l'exécution de commandes arbitraires.
Les chercheurs ont en outre déclaré que la Corée du Nord utilise des unités telles que le groupe Lazarus pour cibler les entreprises du secteur des crypto-monnaies.voler des actifs cryptographiqueset violer les sanctions internationales.