Malware Kandykorn vinculado ao grupo de hackers norte-coreano

Engenheiros Blockchain de uma plataforma de troca de criptomoedas não revelada estão sendo alvo de ameaças patrocinadas pelo Estado associadas à República Popular Democrática da Coreia através do Discord. Eles estão usando um novo malware para macOS chamado KANDYKORN.

O Elastic Security Labs informou que esta atividade, que remonta a abril de 2023, compartilha semelhanças com o conhecido grupo adversário, Lazarus Group. Essas semelhanças foram identificadas através da análise da infraestrutura de rede e das técnicas empregadas.

Os pesquisadores de segurança Ricardo Ungureanu, Seth Goodwin e Andrew Pease revelaram que os atores da ameaça atraíram engenheiros de blockchain com um aplicativo Python para obter acesso inicial aos seus sistemas. Essa intrusão consistiu em vários estágios intrincados, cada um utilizando técnicas deliberadas para evitar a detecção.

O Grupo Lazarus já empregou malware macOS em seus ataques. Em um incidente anterior no início deste ano, eles distribuíram um aplicativo PDF adulterado que levou à implantação do RustBucket, um backdoor baseado em AppleScript capaz de recuperar uma carga útil de segundo estágio de um servidor remoto.

O que diferencia esta nova campanha é como os invasores se passam por engenheiros de blockchain em um servidor público do Discord. Eles usam táticas de engenharia social para enganar as vítimas, fazendo-as baixar e executar um arquivo ZIP contendo código malicioso.

Os pesquisadores explicaram que a vítima acreditava estar instalando um bot de arbitragem, uma ferramenta de software que poderia lucrar com as diferenças nas taxas de criptomoeda entre plataformas. Contudo, na realidade, este processo abriu caminho para a entrega do KANDYKORN através de um procedimento de cinco etapas.

Internos de Kandykorn

KANDYKORN é descrito como um implante avançado com múltiplos recursos, incluindo monitoramento, interação e evasão de detecção. Ele emprega carregamento reflexivo, um método de execução de memória direta que pode ignorar as detecções de segurança.

O ataque começa com um script Python (watcher.py), que recupera outro script Python (testSpeed.py) do Google Drive. Este script atua como um conta-gotas e busca um arquivo Python adicional de um URL do Google Drive, chamado FinderTools.

O FinderTools, por sua vez, serve como um dropper, baixando e executando uma carga oculta de segundo estágio chamada SUGARLOADER (/Users/shared/.sld e .log). O SUGARLOADER então se conecta a um servidor remoto para recuperar o KANDYKORN e executá-lo diretamente na memória.

SUGARLOADER também é responsável por lançar um binário autoassinado baseado em Swift conhecido como HLOADER, que tenta imitar o aplicativo Discord legítimo. Ele executa .log (ou seja, SUGARLOADER) para obter persistência usando uma técnica chamada sequestro de fluxo de execução.

KANDYKORN, a carga útil de estágio final, é um Trojan de acesso remoto (RAT) residente na memória abrangente com recursos integrados para enumeração de arquivos, execução de malware adicional, exfiltração de dados, encerramento de processos e execução de comandos arbitrários.