Malware de Kandykorn vinculado a un grupo de hackers de Corea del Norte

Los ingenieros de blockchain de una plataforma de intercambio de criptomonedas no revelada están siendo atacados por actores de amenazas patrocinados por el estado y asociados con la República Popular Democrática de Corea a través de Discord. Están utilizando un nuevo malware para macOS llamado KANDYKORN.

Elastic Security Labs informó que esta actividad, que se remonta a abril de 2023, comparte similitudes con el conocido grupo adversario Lazarus Group. Estas similitudes se identificaron analizando la infraestructura de red y las técnicas empleadas.

Los investigadores de seguridad Ricardo Ungureanu, Seth Goodwin y Andrew Pease revelaron que los actores de amenazas atrajeron a los ingenieros de blockchain con una aplicación Python para obtener acceso inicial a sus sistemas. Esta intrusión consistió en múltiples etapas intrincadas, cada una de las cuales utilizó técnicas deliberadas para evitar la detección.

El Grupo Lazarus ha utilizado anteriormente malware macOS en sus ataques. En un incidente anterior a principios de este año, distribuyeron una aplicación PDF manipulada que finalmente condujo a la implementación de RustBucket, una puerta trasera basada en AppleScript capaz de recuperar una carga útil de segunda etapa desde un servidor remoto.

Lo que distingue a esta nueva campaña es cómo los atacantes se hacen pasar por ingenieros de blockchain en un servidor público de Discord. Utilizan tácticas de ingeniería social para engañar a las víctimas para que descarguen y ejecuten un archivo ZIP que contiene código malicioso.

Los investigadores explicaron que la víctima creía que estaban instalando un bot de arbitraje, una herramienta de software que podría beneficiarse de las diferencias en las tasas de criptomonedas entre plataformas. Sin embargo, en realidad, este proceso allanó el camino para la entrega de KANDYKORN mediante un procedimiento de cinco etapas.

Las partes internas de Kandykorn

KANDYKORN se describe como un implante avanzado con múltiples capacidades, que incluyen monitoreo, interacción y evasión de detección. Emplea carga reflectante, un método de ejecución de memoria directa que puede eludir las detecciones de seguridad.

El ataque comienza con un script de Python (watcher.py), que recupera otro script de Python (testSpeed.py) de Google Drive. Este script actúa como un cuentagotas y recupera un archivo Python adicional de una URL de Google Drive, llamado FinderTools.

FinderTools, a su vez, sirve como cuentagotas, descargando y ejecutando una carga útil oculta de segunda etapa llamada SUGARLOADER (/Users/shared/.sld y .log). SUGARLOADER luego se conecta a un servidor remoto para recuperar KANDYKORN y ejecutarlo directamente en la memoria.

SUGARLOADER también es responsable del lanzamiento de un binario autofirmado basado en Swift conocido como HLOADER, que intenta imitar la aplicación Discord legítima. Ejecuta .log (es decir, SUGARLOADER) para lograr persistencia utilizando una técnica llamada secuestro de flujo de ejecución.

KANDYKORN, la carga útil de la etapa final, es un completo troyano de acceso remoto (RAT) residente en memoria con capacidades integradas para enumeración de archivos, ejecución de malware adicional, filtración de datos, finalización de procesos y ejecución de comandos arbitrarios.