Se ha descubierto que actores de amenazas patrocinados por el estado de la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) atacan a los ingenieros de blockchain de una plataforma de intercambio de cifrado an\u00f3nima a trav\u00e9s de Discord con un novedoso malware macOS denominado KANDYKORN<\/strong>.<\/p>\n Elastic Security Labs dijo que la actividad, que se remonta a abril de 2023, muestra superposiciones con el infame colectivo adversario Lazarus Group, citando un an\u00e1lisis de la infraestructura de red y las t\u00e9cnicas utilizadas.<\/p>\n “Los actores de amenazas atrajeron a los ingenieros de blockchain con una aplicaci\u00f3n Python para obtener acceso inicial al entorno”, investigadores de seguridad Ricardo Ungureanu, Seth Goodwin y Andrew Pease dicho<\/a> en un informe publicado hoy.<\/p>\n “Esta intrusi\u00f3n involucr\u00f3 m\u00faltiples etapas complejas en las que cada una emple\u00f3 t\u00e9cnicas deliberadas de evasi\u00f3n de defensa”.<\/p>\n Esta no es la primera vez que el Grupo Lazarus aprovecha el malware macOS en sus ataques. A principios de este a\u00f1o, se observ\u00f3 al actor de amenazas distribuyendo una aplicaci\u00f3n PDF con puerta trasera que culmin\u00f3 con la implementaci\u00f3n de RustBucket, una puerta trasera basada en AppleScript capaz de recuperar una carga \u00fatil de segunda etapa desde un servidor remoto.<\/p>\n Lo que hace que la nueva campa\u00f1a se destaque es la suplantaci\u00f3n por parte del atacante de ingenieros de blockchain en un servidor p\u00fablico de Discord, empleando se\u00f1uelos de ingenier\u00eda social para enga\u00f1ar a las v\u00edctimas para que descarguen y ejecuten un archivo ZIP que contiene c\u00f3digo malicioso.<\/p>\n “La v\u00edctima cre\u00eda que estaban instalando un robot de arbitraje<\/a>una herramienta de software capaz de aprovechar las diferencias en las tasas de criptomonedas entre plataformas”, dijeron los investigadores. Pero en realidad, la cadena de ataque allan\u00f3 el camino para la entrega de KANDYKORN despu\u00e9s de un proceso de cinco etapas.<\/p>\n “KANDYKORN es un implante avanzado con una variedad de capacidades para monitorear, interactuar y evitar la detecci\u00f3n”, dijeron los investigadores. “Utiliza carga reflectante, una forma de ejecuci\u00f3n de memoria directa que puede evitar las detecciones”.<\/p>\n El punto de partida es un script de Python (watcher.py), que recupera otro script de Python (testSpeed.py) alojado en Google Drive. Este cuentagotas, por su parte, recupera un archivo Python m\u00e1s de una URL de Google Drive, llamado FinderTools.<\/p>\n FinderTools tambi\u00e9n funciona como un cuentagotas, descargando y ejecutando una carga \u00fatil oculta de segunda etapa denominada CARGADOR DE AZ\u00daCAR<\/a> (\/Users\/shared\/.sld y .log) que finalmente se conecta a un servidor remoto para recuperar KANDYKORN y ejecutarlo directamente en la memoria.<\/p>\n SUGARLOADER tambi\u00e9n es responsable del lanzamiento de un binario autofirmado basado en Swift conocido como CARGADOR<\/a> que intenta hacerse pasar por la aplicaci\u00f3n Discord leg\u00edtima y ejecuta .log (es decir, SUGARLOADER) para lograr persistencia usando un m\u00e9todo llamado secuestro del flujo de ejecuci\u00f3n<\/a>.<\/p>\n KANDYKORN, que es la carga \u00fatil de la etapa final, es una RAT residente en memoria con todas las funciones y capacidades integradas para enumerar archivos, ejecutar malware adicional, filtrar datos, finalizar procesos y ejecutar comandos arbitrarios.<\/p>\n “La RPDC, a trav\u00e9s de unidades como LAZARUS GROUP, contin\u00faa apuntando a las empresas de la criptoindustria con el objetivo de robar criptomonedas para eludir las sanciones internacionales que obstaculizan el crecimiento de su econom\u00eda y sus ambiciones”, dijeron los investigadores.<\/p>\n La divulgaci\u00f3n se produce cuando el equipo de An\u00e1lisis de Amenazas de S2W descubri\u00f3 una variante actualizada de un software esp\u00eda de Android llamado FastViewer que es utilizado por un grupo de amenazas de Corea del Norte denominado Kimsuky (tambi\u00e9n conocido como APT43), un equipo de pirater\u00eda hermano del Grupo Lazarus.<\/p>\n FastViewer, documentado por primera vez por la empresa de ciberseguridad de Corea del Sur en octubre de 2022, abusa de los servicios de accesibilidad de Android para recopilar de forma encubierta datos confidenciales de dispositivos comprometidos haci\u00e9ndose pasar por aplicaciones de seguridad o de comercio electr\u00f3nico aparentemente inofensivas que se propagan mediante phishing o smishing.<\/p>\n Tambi\u00e9n est\u00e1 dise\u00f1ado para descargar un malware de segunda etapa llamado FastSpy, que se basa en el proyecto de c\u00f3digo abierto AndroSpy, para ejecutar comandos de extracci\u00f3n y recopilaci\u00f3n de datos.<\/p>\n “La variante ha estado en producci\u00f3n desde al menos julio de 2023 y, al igual que la versi\u00f3n inicial, induce la instalaci\u00f3n mediante la distribuci\u00f3n de APK reempaquetados que incluyen c\u00f3digo malicioso en aplicaciones leg\u00edtimas”, S2W dicho<\/a>.<\/p>\n Un aspecto notable de la nueva versi\u00f3n es la integraci\u00f3n de la funcionalidad de FastSpy en FastViewer, evitando as\u00ed la necesidad de descargar malware adicional. Dicho esto, S2W dijo que “no se conocen casos de que esta variante se distribuya en la naturaleza”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Hackers-norcoreanos-apuntan-a-expertos-en-criptografia-con-malware-KANDYKORN.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\nKimsuky resurge con el malware FastViewer actualizado<\/h2>\n
<\/a><\/div>\n