Lazarus Group explora novo malware 'KANDYKORN' para atingir exchanges de criptomoedas
Summary:
O sindicato norte-coreano de crimes cibernéticos, Lazarus Group, implantou recentemente uma nova variedade de malware, "KANDYKORN", para violar uma corretora de criptomoedas, de acordo com o Elastic Security Labs. A empresa de segurança descobriu KANDYKORN depois que os membros do Lazarus Group se passaram por engenheiros de blockchain e enganaram os engenheiros da exchange para baixar um suposto bot de arbitragem lucrativo. O bot, no entanto, era um arquivo nocivo que estabelecia uma conexão com uma conta desconhecida do Google Drive e baixava conteúdo malicioso adicional. Este conteúdo incluía "SUGARLOADER", que poderia ignorar a maioria dos sistemas de detecção de malware. Uma vez instalado, ele baixou KANDYKORN diretamente na memória do dispositivo, preparando-o para executar várias operações prejudiciais. A Elastic acredita que a ameaça ainda ativa ocorreu originalmente em abril de 2023.
O infame Lazarus Group teria usado uma variante de malware inovadora com o objetivo de violar uma corretora de criptomoedas, conforme descrito em uma análise publicada pela Elastic Security Labs em 31 de outubro. Este novo software nocivo foi rotulado como "KANDYKORN" pela Elastic, com a operação do carregador que o instiga na memória apelidada de "SUGARLOAD", devido à sua extensão de arquivo singular ".sld". A corretora de criptomoedas alvo ainda não foi revelada pela Elastic.
Em 2023, as plataformas de criptomoedas foram cercadas com inúmeras violações de chaves privadas, predominantemente rastreadas até o notório sindicato de crimes cibernéticos norte-coreano, Lazarus Group.
Quanto ao ataque em questão, a Elastic relata que o Lazarus Group iniciou o ataque se passando por profissionais de blockchain, atraindo engenheiros da plataforma cripto anônima. Estabelecendo contato via Discord, os invasores alegaram fraudulentamente que haviam criado um bot de arbitragem bem-sucedido capaz de lucrar com as variações de preço entre diferentes exchanges de criptomoedas. Eles convenceram os engenheiros a baixar esse chamado "bot". Arquivos com nomes enganosos, como "config.py" e "pricetable.py", foram escondidos na pasta zip do programa, dando-lhe a aparência de um bot de arbitragem genuíno.
A armadilha enganosa foi criada quando os engenheiros lançaram o programa, ativando um arquivo "Main.py" que realizava uma série de operações padrão enquanto executava simultaneamente um arquivo nocivo conhecido como "Watcher.py". Esse arquivo facilitou a conexão com uma conta externa do Google Drive, extraindo o conteúdo dela para outro arquivo chamado testSpeed.py, que foi executado uma vez antes de ser erradicado para proteger qualquer evidência.
Durante a execução solitária de testSpeed.py, o programa buscou mais conteúdo e, eventualmente, ativou um arquivo que Elastic chama de "SUGARLOADER". Através do uso de um "empacotador binário", este arquivo foi ocultado, tornando-o em grande parte indetectável pela maioria dos softwares de busca de malware. No entanto, o Elastic o descobriu depois de suspender o programa após a inicialização e tirar um instantâneo da memória virtual do processo. Quando submetido ao teste de detecção de malware do VirusTotal, o SUGARLOADER apareceu limpo.
Após sua infiltração no sistema do computador, o SUGARLOADER sincronizou com um servidor externo e baixou o KANDYKORN diretamente na memória do dispositivo. KANDYKORN é fornecido com uma série de funções operadas pelo servidor remoto para conduzir diversas operações prejudiciais. Funções como o comando "0xD3" permitem que o invasor acesse o conteúdo de um diretório na máquina alvo, enquanto "resp_file_down" facilita a transferência de arquivos do sistema da vítima para o do invasor.
A Elastic estima que o ataque ocorreu em abril de 2023 e suspeita fortemente de atividade maliciosa contínua com a seguinte declaração: "Esta ameaça ainda está ativa e as ferramentas e técnicas estão sendo continuamente desenvolvidas".
Ao longo de 2023, uma onda de ataques atingiu exchanges e aplicativos de criptografia centralizados. As vítimas dessas invasões vão desde Alphapo, CoinsPaid, Atomic Wallet e Coinex até Stake, entre outros. A maioria desses ataques parecia girar em torno da extração de uma chave privada do dispositivo da vítima, posteriormente usada para redirecionar a criptomoeda do cliente para o endereço designado do invasor. O grupo Lazarus foi diretamente implicado nos assaltos à Coinex e à Stake, entre outros, pelo Federal Bureau of Investigation (FBI) dos EUA.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.