Lazarus Group explota el nuevo malware 'KANDYKORN' para atacar los exchanges de criptomonedas
Summary:
El sindicato de ciberdelincuencia de Corea del Norte, Lazarus Group, implementó recientemente una nueva variedad de malware, "KANDYKORN", para violar un exchange de criptomonedas, según Elastic Security Labs. La firma de seguridad descubrió KANDYKORN después de que los miembros de Lazarus Group se hicieran pasar por ingenieros de blockchain y engañaran a los ingenieros del exchange para que descargaran un supuesto bot de arbitraje rentable. El bot, sin embargo, era un archivo dañino que establecía una conexión con una cuenta desconocida de Google Drive y descargaba contenido malicioso adicional. Este contenido incluía "SUGARLOADER", que podía eludir la mayoría de los sistemas de detección de malware. Una vez instalado, descargaba KANDYKORN directamente en la memoria del dispositivo, preparándolo para realizar diversas operaciones dañinas. Elastic cree que la amenaza aún activa ocurrió originalmente en abril de 2023.
Según se informa, el infame Grupo Lazarus ha utilizado una innovadora variante de malware con el objetivo de violar un exchange de criptomonedas, como se describe en un análisis publicado por Elastic Security Labs el 31 de octubre. Este nuevo software dañino ha sido etiquetado como "KANDYKORN" por Elastic, con la operación de carga que lo instiga en la memoria denominada "SUGARLOAD", debido a su singular extensión de archivo ".sld". El exchange de criptomonedas atacado sigue sin ser revelado por Elastic.
En 2023, las plataformas de criptomonedas se han visto asediadas por numerosas violaciones de claves privadas, que se remontan principalmente al notorio sindicato de ciberdelincuencia de Corea del Norte, Lazarus Group.
En cuanto al asalto en cuestión, Elastic informa que Lazarus Group inició el ataque haciéndose pasar por profesionales de blockchain, atrayendo a ingenieros de la plataforma criptográfica anónima. Al establecer contacto a través de Discord, los atacantes afirmaron fraudulentamente que habían creado un exitoso bot de arbitraje capaz de sacar provecho de las variaciones de precios entre diferentes exchanges de criptomonedas. Convencieron a los ingenieros para que descargaran este llamado "bot". Los archivos con nombres engañosos, como "config.py" y "pricetable.py", estaban escondidos en la carpeta zip del programa, lo que le daba la apariencia de un robot de arbitraje genuino.
La trampa engañosa surgió cuando los ingenieros lanzaron el programa, activando un archivo "Main.py" que llevaba a cabo una serie de operaciones estándar mientras ejecutaba simultáneamente un archivo dañino conocido como "Watcher.py". Este archivo facilitaba una conexión a una cuenta externa de Google Drive, extrayendo contenido de ella a otro archivo llamado testSpeed.py, que luego se ejecutó una vez antes de ser erradicado para proteger cualquier evidencia.
Durante la ejecución solitaria de testSpeed.py, el programa obtuvo más contenido y, finalmente, activó un archivo al que Elastic se refiere como "SUGARLOADER". Mediante el uso de un "empaquetador binario", este archivo se ocultó, haciéndolo en gran medida indetectable para la mayoría del software de búsqueda de malware. No obstante, Elastic lo descubrió después de suspender el programa después de la inicialización y tomar una instantánea de la memoria virtual del proceso. Cuando se sometió a las pruebas de detección de malware de VirusTotal, SUGARLOADER salió limpio.
Tras su infiltración en el sistema informático, SUGARLOADER se sincronizó con un servidor externo y descargó KANDYKORN directamente a la memoria del dispositivo. KANDYKORN está equipado con una serie de funciones operadas por el servidor remoto para llevar a cabo diversas operaciones dañinas. Funciones como el comando "0xD3" permiten al atacante acceder al contenido de un directorio en la máquina objetivo, mientras que "resp_file_down" facilita la transferencia de archivos desde el sistema de la víctima al del atacante.
Elastic estima que el asalto ocurrió en abril de 2023 y sospecha firmemente de una actividad maliciosa en curso con la siguiente declaración: "Esta amenaza sigue activa y las herramientas y técnicas se desarrollan continuamente".
A lo largo de 2023, una ola de ataques ha afectado a los exchanges y aplicaciones de criptomonedas centralizados. Las víctimas de estas invasiones van desde Alphapo, CoinsPaid, Atomic Wallet y Coinex hasta Stake, entre otros. La mayoría de estos ataques parecían girar en torno a la extracción de una clave privada del dispositivo de la víctima, que posteriormente se utilizaba para redirigir la criptomoneda del cliente a la dirección designada por el atacante. El contaminado Grupo Lazarus ha sido implicado directamente en los atracos de Coinex y Stake, entre otros, por la Oficina Federal de Investigaciones (FBI) de Estados Unidos.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.