Home Criptomonedas Piratas informáticos norcoreanos apuntan a los ingenieros criptográficos de macOS, con Kandykorn

Piratas informáticos norcoreanos apuntan a los ingenieros criptográficos de macOS, con Kandykorn

Se ha observado que cibercriminales norcoreanos sospechosos de estar asociados con el Grupo Lazarus atacan a ingenieros de blockchain involucrados en plataformas de intercambio de criptomonedas con un nuevo malware para macOS llamado Kandykorn.

Esta intrusión, rastreada como REF7001 por Elastic Security Labs, utilizó una combinación de capacidades personalizadas y de código abierto para obtener acceso inicial y posterior a la explotación en sistemas macOS.

En un aviso publicado, los expertos en seguridad dijeron que la intrusión comenzó cuando los atacantes se hicieron pasar por miembros de la comunidad de ingeniería blockchain en un servidor público de Discord, convenciendo a las víctimas de descargar y descomprimir un archivo ZIP que contenía código malicioso. La víctima creía que estaban instalando un robot de arbitraje para beneficiarse de las diferencias en las tasas de las criptomonedas.

El malware Kandykorn se comunica con un servidor de comando y control (C2) mediante RC4 cifrado y utiliza un mecanismo de protocolo de enlace único, esperando comandos en lugar de sondearlos. El informe de Elastic detalla varios comandos que Kandykorn puede ejecutar, incluida la carga y descarga de archivos, la manipulación de procesos y la ejecución de comandos arbitrarios del sistema.

El equipo de Elastic destacó el uso de carga binaria reflectante, una forma de ejecución residente en la memoria que puede eludir los métodos de detección tradicionales. Este tipo de ejecución sin archivos se ha presenciado anteriormente en ataques llevados a cabo por el Grupo Lazarus, centrado en el robo de criptomonedas para eludir sanciones internacionales.

El artículo técnico proporciona amplios detalles técnicos, incluidas consultas EQL para búsqueda y detección, así como información sobre la infraestructura del malware y el modelo Diamond utilizado para describir las relaciones de la intrusión.