Atuadores de ameaças patrocinados pelo estado da República Popular Democrática da Coreia (DPRK) foram encontrados visando engenheiros de blockchain de uma plataforma de exchange de criptografia não identificada através do Discord com um novo malware macOS apelidado de KANDYKORN.
Os Laboratórios de Segurança Elástica disseram que a atividade, rastreada até abril de 2023, apresenta semelhanças com o infame coletivo adversário Lazarus Group, citando uma análise da infraestrutura de rede e técnicas utilizadas.
"Os atuadores de ameaças atraíram engenheiros de blockchain com uma aplicação Python para obter acesso inicial ao ambiente", disseram os pesquisadores de segurança Ricardo Ungureanu, Seth Goodwin e Andrew Pease em um relatório publicado hoje.
"Esta invasão envolveu múltiplos estágios complexos que cada um empregou técnicas deliberadas de evasão da defesa."
Essa não é a primeira vez que o Lazarus Group utilizou malware macOS em seus ataques.
No início deste ano, o ator de ameaça foi observado distribuindo um aplicativo PDF que culminou na implantação do RustBucket, um backdoor baseado em AppleScript capaz de recuperar um payload de segunda fase de um servidor remoto.
O que diferencia a nova campanha é a imitação do atacante de engenheiros de blockchain em um servidor público Discord, utilizando atrativos de engenharia social para enganar as vítimas a baixar e executar um arquivo ZIP contendo códigos maliciosos.
"A vítima acreditava que estava instalando um bot de arbitragem, uma ferramenta de software capaz de lucrar com as diferenças de taxa de criptografia entre as plataformas", disseram os pesquisadores.
Mas na realidade, a cadeia de ataques pavimentou o caminho para a entrega do KANDYKORN após um processo de cinco etapas.
"KANDYKORN é um implante avançado com várias capacidades para monitorar, interagir e evitar a detecção", disseram os pesquisadores.
"Ele utiliza carregamento reflexivo, uma forma direta de execução na memória que pode evitar detecções."
O ponto de partida é um script Python (watcher.py), que recupera outro script Python (testSpeed.py) hospedado no Google Drive.
Este dropper, por sua vez, busca mais um arquivo Python de uma URL do Google Drive, chamado FinderTools.
FinderTools também funciona como um dropper, baixando e executando um payload de segunda fase oculta, referido como SUGARLOADER (/Users/shared/.sld e .log) que finalmente conecta a um servidor remoto para recuperar o KANDYKORN e executá-lo diretamente na memória.
SUGARLOADER também é responsável por lançar um binário Swift de assinatura própria conhecido como HLOADER, que tenta se passar pelo aplicativo oficial do Discord e executa .log (ou seja, SUGARLOADER) para alcançar a persistência usando um método chamado execução de sequestro de fluxo.
KANDYKORN, que é um payload, é um RAT residente em memória com recursos integrados para enumerar arquivos, executar malwares adicionais, exfiltrar dados, encerrar processos e executar comandos arbitrários.
"A DPRK, por meio de unidades como o LAZARUS GROUP, continua visando empresas do setor de criptografia com o objetivo de roubar criptomoedas para contornar sanções internacionais que atrapalham o crescimento de sua economia e ambições", disseram os pesquisadores.
Kimsuky retoma com o atualizado Malware FastViewer
A divulgação acontece quando a equipe de análise de ameaças S2W descobre uma variante atualizada de um spyware Android chamado FastViewer usado por um cluster de ameaças da Coreia do Norte apelidado de Kimsuky (também conhecido como APT43), um grupo irmão de hackers do Lazarus Group.
FastViewer, documentado pela primeira vez pela empresa de segurança cibernética da Coreia do Sul em outubro de 2022, abusa dos serviços de acessibilidade do Android para colher secretamente dados sensíveis de dispositivos comprometidos, disfarçando-se como aplicativos aparentemente inofensivos de segurança ou comércio eletrônico que estão se propagando via phishing ou smishing.
Ele também é projetado para baixar um malware de segunda fase chamado FastSpy, baseado no projeto de código aberto AndroSpy, para executar comandos de coleta de dados e exfiltração.
"A variante vem sendo produzida desde pelo menos julho de 2023 e, como a versão inicial, ela induziu a instalação distribuindo APKs remontados que incluem código malicioso em aplicativos legítimos", disse a S2W.
Um aspecto notável da nova versão é a integração da funcionalidade FastSpy no FastViewer, eliminando a necessidade de baixar malwares adicionais.
Dito isso, a S2W afirmou que "não há casos conhecidos desta variante sendo distribuída em estado selvagem."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...