Le groupe Lazarus exploite le nouveau logiciel malveillant « KANDYKORN » pour cibler les plateformes d’échange de cryptomonnaies
Summary:
Le syndicat nord-coréen de la cybercriminalité, Lazarus Group, a récemment déployé une nouvelle variété de logiciels malveillants, « KANDYKORN », pour pénétrer dans une plateforme d’échange de cryptomonnaies, selon Elastic Security Labs. La société de sécurité a découvert KANDYKORN après que les membres du groupe Lazarus se soient fait passer pour des ingénieurs de la blockchain et aient trompé les ingénieurs de la bourse en téléchargeant un robot d’arbitrage prétendument rentable. Le bot, cependant, était un fichier nuisible qui établissait une connexion à un compte Google Drive inconnu et téléchargeait du contenu malveillant supplémentaire. Ce contenu incluait « SUGARLOADER », qui pouvait contourner la plupart des systèmes de détection de logiciels malveillants. Une fois installé, il a téléchargé KANDYKORN directement dans la mémoire de l’appareil, le préparant à effectuer diverses opérations nuisibles. Elastic pense que la menace toujours active s’est produite à l’origine en avril 2023.
Le tristement célèbre groupe Lazarus aurait utilisé une variante innovante de logiciel malveillant visant à pirater une plateforme d’échange de cryptomonnaies, comme le souligne une analyse publiée par Elastic Security Labs le 31 octobre. Ce nouveau logiciel nuisible a été étiqueté « KANDYKORN » par Elastic, avec l’opération de chargement qui l’inscrit dans la mémoire surnommée « SUGARLOAD », en raison de son extension de fichier singulière « .sld ». La plateforme d’échange de cryptomonnaies ciblée n’a pas encore été divulguée par Elastic.
En 2023, les plateformes de cryptomonnaies ont été assiégées par de nombreuses violations de clés privées, principalement attribuées au célèbre syndicat de cybercriminalité nord-coréen, Lazarus Group.
En ce qui concerne l’attaque en question, Elastic rapporte que le groupe Lazarus a initié l’attaque en se faisant passer pour des professionnels de la blockchain, attirant les ingénieurs de la plate-forme crypto anonyme. En établissant le contact via Discord, les attaquants ont frauduleusement prétendu avoir créé un bot d’arbitrage performant capable de tirer profit des variations de prix entre les différentes plateformes d’échange de crypto-monnaies. Ils ont persuadé les ingénieurs de télécharger ce soi-disant « bot ». Des fichiers aux noms trompeurs, tels que « config.py » et « pricetable.py », étaient cachés dans le dossier zip du programme, ce qui lui donnait l’apparence d’un véritable robot d’arbitrage.
Le piège trompeur a été déclenché lorsque les ingénieurs ont lancé le programme, activant un fichier « Main.py » qui effectuait une série d’opérations standard tout en exécutant simultanément un fichier nuisible connu sous le nom de « Watcher.py ». Ce fichier facilitait la connexion à un compte Google Drive externe, en extrayant le contenu de celui-ci vers un autre fichier nommé testSpeed.py, qui était ensuite exécuté une fois avant d’être éradiqué pour protéger toute preuve.
Au cours de l’exécution solitaire de testSpeed.py, le programme a récupéré d’autres contenus et a finalement activé un fichier qu’Elastic appelle « SUGARLOADER ». Grâce à l’utilisation d’un « compresseur binaire », ce fichier a été dissimulé, ce qui le rend largement indétectable par la plupart des logiciels malveillants. Néanmoins, Elastic l’a découvert après avoir suspendu le programme après l’initialisation et pris un instantané de la mémoire virtuelle du processus. Lorsqu’il a été soumis aux tests de détection des logiciels malveillants de VirusTotal, SUGARLOADER s’est avéré positif.
Suite à son infiltration dans le système informatique, SUGARLOADER s’est synchronisé avec un serveur hors site et a téléchargé KANDYKORN directement dans la mémoire de l’appareil. KANDYKORN est doté d’un ensemble de fonctions exploitées par le serveur distant pour effectuer diverses opérations nuisibles. Des fonctions telles que la commande « 0xD3 » permettent à l’attaquant d’accéder au contenu d’un répertoire sur la machine ciblée, tandis que « resp_file_down » facilite le transfert de fichiers du système de la victime vers celui de l’attaquant.
Elastic estime que l’attaque s’est produite en avril 2023 et soupçonne fortement une activité malveillante en cours avec la déclaration suivante : « Cette menace est toujours active et les outils et techniques sont continuellement développés. »
Au cours de l’année 2023, une vague d’attaques a frappé les plateformes d’échange et les applications de cryptomonnaies centralisées. Les victimes de ces invasions vont d’Alphapo, CoinsPaid, Atomic Wallet et Coinex à Stake, entre autres. La majorité de ces attaques semblaient tourner autour de l’extraction d’une clé privée de l’appareil de la victime, utilisée par la suite pour rediriger la crypto-monnaie du client vers l’adresse désignée de l’attaquant. Le groupe corrompu Lazarus a été directement impliqué dans les braquages de Coinex et de Stake, entre autres, par le Federal Bureau of Investigation (FBI) des États-Unis.
Published At
11/1/2023 9:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.