Se ha descubierto que actores de amenazas patrocinados por el estado de la República Popular Democrática de Corea (RPDC) atacan a los ingenieros de blockchain de una plataforma de intercambio de cifrado anónima a través de Discord con un novedoso malware macOS denominado KANDYKORN.
Elastic Security Labs dijo que la actividad, que se remonta a abril de 2023, muestra superposiciones con el infame colectivo adversario Lazarus Group, citando un análisis de la infraestructura de red y las técnicas utilizadas.
«Los actores de amenazas atrajeron a los ingenieros de blockchain con una aplicación Python para obtener acceso inicial al entorno», investigadores de seguridad Ricardo Ungureanu, Seth Goodwin y Andrew Pease dicho en un informe publicado hoy.
«Esta intrusión involucró múltiples etapas complejas en las que cada una empleó técnicas deliberadas de evasión de defensa».
Esta no es la primera vez que el Grupo Lazarus aprovecha el malware macOS en sus ataques. A principios de este año, se observó al actor de amenazas distribuyendo una aplicación PDF con puerta trasera que culminó con la implementación de RustBucket, una puerta trasera basada en AppleScript capaz de recuperar una carga útil de segunda etapa desde un servidor remoto.
Lo que hace que la nueva campaña se destaque es la suplantación por parte del atacante de ingenieros de blockchain en un servidor público de Discord, empleando señuelos de ingeniería social para engañar a las víctimas para que descarguen y ejecuten un archivo ZIP que contiene código malicioso.
«La víctima creía que estaban instalando un robot de arbitrajeuna herramienta de software capaz de aprovechar las diferencias en las tasas de criptomonedas entre plataformas», dijeron los investigadores. Pero en realidad, la cadena de ataque allanó el camino para la entrega de KANDYKORN después de un proceso de cinco etapas.
«KANDYKORN es un implante avanzado con una variedad de capacidades para monitorear, interactuar y evitar la detección», dijeron los investigadores. «Utiliza carga reflectante, una forma de ejecución de memoria directa que puede evitar las detecciones».
El punto de partida es un script de Python (watcher.py), que recupera otro script de Python (testSpeed.py) alojado en Google Drive. Este cuentagotas, por su parte, recupera un archivo Python más de una URL de Google Drive, llamado FinderTools.
FinderTools también funciona como un cuentagotas, descargando y ejecutando una carga útil oculta de segunda etapa denominada CARGADOR DE AZÚCAR (/Users/shared/.sld y .log) que finalmente se conecta a un servidor remoto para recuperar KANDYKORN y ejecutarlo directamente en la memoria.
SUGARLOADER también es responsable del lanzamiento de un binario autofirmado basado en Swift conocido como CARGADOR que intenta hacerse pasar por la aplicación Discord legítima y ejecuta .log (es decir, SUGARLOADER) para lograr persistencia usando un método llamado secuestro del flujo de ejecución.
KANDYKORN, que es la carga útil de la etapa final, es una RAT residente en memoria con todas las funciones y capacidades integradas para enumerar archivos, ejecutar malware adicional, filtrar datos, finalizar procesos y ejecutar comandos arbitrarios.
«La RPDC, a través de unidades como LAZARUS GROUP, continúa apuntando a las empresas de la criptoindustria con el objetivo de robar criptomonedas para eludir las sanciones internacionales que obstaculizan el crecimiento de su economía y sus ambiciones», dijeron los investigadores.
Kimsuky resurge con el malware FastViewer actualizado
La divulgación se produce cuando el equipo de Análisis de Amenazas de S2W descubrió una variante actualizada de un software espía de Android llamado FastViewer que es utilizado por un grupo de amenazas de Corea del Norte denominado Kimsuky (también conocido como APT43), un equipo de piratería hermano del Grupo Lazarus.
FastViewer, documentado por primera vez por la empresa de ciberseguridad de Corea del Sur en octubre de 2022, abusa de los servicios de accesibilidad de Android para recopilar de forma encubierta datos confidenciales de dispositivos comprometidos haciéndose pasar por aplicaciones de seguridad o de comercio electrónico aparentemente inofensivas que se propagan mediante phishing o smishing.
También está diseñado para descargar un malware de segunda etapa llamado FastSpy, que se basa en el proyecto de código abierto AndroSpy, para ejecutar comandos de extracción y recopilación de datos.
«La variante ha estado en producción desde al menos julio de 2023 y, al igual que la versión inicial, induce la instalación mediante la distribución de APK reempaquetados que incluyen código malicioso en aplicaciones legítimas», S2W dicho.
Un aspecto notable de la nueva versión es la integración de la funcionalidad de FastSpy en FastViewer, evitando así la necesidad de descargar malware adicional. Dicho esto, S2W dijo que «no se conocen casos de que esta variante se distribuya en la naturaleza».