Kandykorn Malware

Os ciberataques apoiados pelo governo da República Popular Democrática da Coreia (RPDC) foram identificados como tendo como alvo especialistas em blockchain associados a uma plataforma de troca de criptomoedas não especificada através da plataforma de mensagens Discord. Eles empregaram um novo malware para macOS chamado KANDYKORN. Esta operação ameaçadora remonta a abril de 2023 e partilha semelhanças com o notório grupo de hackers conhecido como Grupo Lazarus, conforme indicado por um exame da infraestrutura de rede e das táticas utilizadas

Os invasores atraíram profissionais de blockchain usando um aplicativo Python para estabelecer uma posição inicial no ambiente alvo. A intrusão consistiu em múltiplas fases complexas, cada uma incorporando técnicas deliberadas para evitar a detecção e contornar as medidas de segurança.

Os Autores da Ameaça Usaram Iscas de Engenharia Social para Implantar o KANDYKORN Malware

A utilização de malware macOS pelo Grupo Lazarus em suas operações não é um desenvolvimento recente. No ano passado, esse agente de ameaça foi observado disseminando um aplicativo PDF adulterado, o que eventualmente levou à implantação do RustBucket, um backdoor baseado em AppleScript. RustBucket tinha a capacidade de recuperar uma carga útil de segundo estágio de um servidor remoto.

O que distingue a nova campanha é a tática do invasor de se passar por engenheiros de blockchain em um servidor público do Discord e empregar técnicas de engenharia social para enganar as vítimas, fazendo-as baixar e executar um arquivo ZIP contendo código malicioso.

As vítimas são levadas a acreditar que estão instalando um bot de arbitragem, uma ferramenta de software que pode explorar diferenças nas taxas de criptomoeda entre plataformas para obter lucro. Na realidade, este processo enganoso prepara o terreno para a entrega do KANDYKORN, que se desenrola através de uma progressão de cinco estágios.

Uma Cadeia de Infecção em Vários Estágios Facilita a Infecção pelo KANDYKORN Malware 

O KANDYKORN representa um implante sofisticado dotado de uma ampla gama de funcionalidades projetadas para monitoramento, interação e evasão de detecção. Ele emprega carregamento reflexivo, um método de execução direta de memória que pode potencialmente escapar dos mecanismos de detecção.

A etapa inicial deste processo envolve um script Python, conhecido como ‘watcher.py’, que recupera outro script Python, ‘testSpeed.py’, hospedado no Google Drive. Este segundo script Python atua como um conta-gotas e busca um arquivo Python adicional de um URL do Google Drive, chamado ‘FinderTools’.

O FinderTools também serve como um dropper, responsável por baixar e executar uma carga oculta de segundo estágio conhecida como 'SUGARLOADER' (localizada em /Users/shared/.sld e .log). O SUGARLOADER posteriormente estabelece uma conexão com um servidor remoto para recuperar o KANDYKORN e executá-lo diretamente na memória.

O SUGARLOADER assume uma função adicional ao lançar um binário autoassinado baseado em Swift chamado 'HLOADER', que tenta se disfarçar como o aplicativo Discord legítimo e executar '.log' (ou seja, SUGARLOADER) para obter persistência por meio de uma técnica conhecida como execução sequestro de fluxo.

O KANDYKORN, servindo como carga útil definitiva, é um Trojan de Acesso Remoto (RAT) residente na memória completo com recursos inerentes para enumeração de arquivos, execução de malware suplementar, exfiltração de dados, encerramento de processos e execução de comandos arbitrários.

A presença do KANDYKORN sublinha os esforços contínuos da RPDC, particularmente através de entidades como o Grupo Lazarus, para atingir negócios relacionados com criptomoedas. O seu principal objetivo é roubar criptomoedas para contornar sanções internacionais que impedem o crescimento da sua economia e aspirações.