Lazarus Group sfrutta il nuovo malware "KANDYKORN" per prendere di mira gli exchange di criptovalute
Summary:
Secondo Elastic Security Labs, il sindacato nordcoreano del crimine informatico, Lazarus Group, ha recentemente implementato una nuova varietà di malware, "KANDYKORN", per violare un exchange di criptovalute. La società di sicurezza ha scoperto KANDYKORN dopo che i membri del Lazarus Group si sono spacciati per ingegneri blockchain e hanno ingannato gli ingegneri dell'exchange per scaricare un presunto bot di arbitraggio redditizio. Il bot, tuttavia, era un file dannoso che stabiliva una connessione a un account Google Drive sconosciuto e scaricava ulteriori contenuti dannosi. Questo contenuto includeva "SUGARLOADER", in grado di bypassare la maggior parte dei sistemi di rilevamento del malware. Una volta installato, scaricava KANDYKORN direttamente nella memoria del dispositivo, preparandolo a eseguire varie operazioni dannose. Elastic ritiene che la minaccia ancora attiva si sia verificata originariamente nell'aprile 2023.
Secondo quanto riferito, il famigerato Lazarus Group ha utilizzato un'innovativa variante di malware con l'obiettivo di violare un exchange di criptovalute, come sottolineato in un'analisi pubblicata da Elastic Security Labs il 31 ottobre. Questo nuovo software dannoso è stato etichettato come "KANDYKORN" da Elastic, con l'operazione di caricamento che lo istiga in memoria soprannominata "SUGARLOAD", a causa della sua singolare estensione di file ".sld". L'exchange di criptovalute preso di mira non è stato divulgato da Elastic.
Nel 2023, le piattaforme crypto sono state assediate da numerose violazioni delle chiavi private, riconducibili prevalentemente al famigerato sindacato nordcoreano del crimine informatico, Lazarus Group.
Per quanto riguarda l'assalto in questione, Elastic riporta che il Lazarus Group ha iniziato l'attacco mascherandosi da professionisti della blockchain, attirando gli ingegneri della piattaforma crypto anonima. Stabilendo un contatto tramite Discord, gli aggressori hanno affermato in modo fraudolento di aver creato un bot di arbitraggio di successo in grado di incassare le variazioni di prezzo tra diversi exchange di criptovalute. Hanno convinto gli ingegneri a scaricare questo cosiddetto "bot". I file dai nomi ingannevoli, come "config.py" e "pricetable.py", erano nascosti nella cartella zip del programma, conferendogli l'aspetto di un vero e proprio bot di arbitraggio.
La trappola ingannevole è scattata quando gli ingegneri hanno lanciato il programma, attivando un file "Main.py" che eseguiva una serie di operazioni standard eseguendo contemporaneamente un file dannoso noto come "Watcher.py". Questo file ha facilitato una connessione a un account Google Drive esterno, estraendo il contenuto da esso a un altro file chiamato testSpeed.py, che è stato poi eseguito una volta prima di essere eliminato per proteggere qualsiasi prova.
Durante l'esecuzione solitaria di testSpeed.py, il programma ha recuperato ulteriori contenuti e alla fine ha attivato un file che Elastic chiama "SUGARLOADER". Attraverso l'uso di un "packer binario", questo file è stato nascosto, rendendolo in gran parte non rilevabile dalla maggior parte dei software di ricerca di malware. Tuttavia, Elastic lo ha scoperto dopo aver sospeso il programma dopo l'inizializzazione e aver scattato un'istantanea della memoria virtuale del processo. Quando è stato sottoposto al test di rilevamento del malware di VirusTotal, SUGARLOADER è risultato pulito.
Dopo la sua infiltrazione nel sistema informatico, SUGARLOADER si è sincronizzato con un server esterno e ha scaricato KANDYKORN direttamente nella memoria del dispositivo. KANDYKORN è dotato di una serie di funzioni gestite dal server remoto per condurre diverse operazioni dannose. Funzioni come il comando "0xD3" consentono all'aggressore di accedere al contenuto di una directory sulla macchina presa di mira, mentre "resp_file_down" facilita il trasferimento di file dal sistema della vittima a quello dell'aggressore.
Elastic stima che l'assalto sia avvenuto nell'aprile del 2023 e sospetta fortemente un'attività dannosa in corso con la seguente dichiarazione: "Questa minaccia è ancora attiva e gli strumenti e le tecniche vengono continuamente sviluppati".
Nel corso del 2023, un'ondata di attacchi ha colpito gli exchange e le app di criptovalute centralizzate. Le vittime di queste invasioni vanno da Alphapo, CoinsPaid, Atomic Wallet e Coinex a Stake, tra gli altri. La maggior parte di questi attacchi sembrava ruotare attorno all'estrazione di una chiave privata dal dispositivo della vittima, successivamente utilizzata per reindirizzare la criptovaluta del cliente all'indirizzo designato dall'aggressore. Il gruppo Lazarus è stato direttamente implicato nelle rapine di Coinex e Stake, tra gli altri, dal Federal Bureau of Investigation (FBI) degli Stati Uniti.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.