Accueil La cyber-sécurité Le logiciel malveillant macOS « KandyKorn » attire les ingénieurs en cryptographie

Le logiciel malveillant macOS « KandyKorn » attire les ingénieurs en cryptographie

0
Le logiciel malveillant macOS « KandyKorn » attire les ingénieurs en cryptographie



Le tristement célèbre groupe nord-coréen de menace persistante avancée (APT) Lazare a développé une forme de malware macOS appelé « KandyKorn », qu’il utilise pour cibler les ingénieurs blockchain connectés aux échanges de crypto-monnaie.

Selon un rapport d’Elastic Security LabsKandyKorn dispose d’un ensemble complet de fonctionnalités pour détecter, accéder et voler toutes les données de l’ordinateur de la victime, y compris les services et applications de crypto-monnaie.

Pour le réaliser, Lazarus a adopté une approche en plusieurs étapes impliquant une application Python se faisant passer pour un robot d’arbitrage de crypto-monnaie (un outil logiciel capable de profiter de la différence de taux de crypto-monnaie entre les plateformes d’échange de crypto-monnaie). L’application comportait des noms trompeurs, notamment « config.py » et « pricetable.py », et était distribuée via un serveur Discord public.

Le groupe a ensuite utilisé des techniques d’ingénierie sociale pour encourager ses victimes à télécharger et décompresser une archive zip dans leur environnement de développement, contenant prétendument le bot. En réalité, le fichier contenait une application Python prédéfinie avec du code malveillant.

Les victimes de l’attaque pensaient avoir installé un robot d’arbitrage, mais le lancement de l’application Python a déclenché l’exécution d’un flux de malware en plusieurs étapes aboutissant au déploiement de l’outil malveillant KandyKorn, ont déclaré les experts d’Elastic Security.

Routine d’infection de KandyKorn Malware

L’attaque commence par l’exécution de Main.py, qui importe Watcher.py. Ce script vérifie la version Python, configure des répertoires locaux et récupère deux scripts directement depuis Google Drive : TestSpeed.py et FinderTools.

Ces scripts sont utilisés pour télécharger et exécuter un binaire obscurci appelé Sugarloader, chargé de donner l’accès initial à la machine et de préparer les étapes finales du malware, qui impliquent également un outil appelé Hloader.

L’équipe chargée des menaces a pu retracer l’intégralité du chemin de déploiement du malware, tirant la conclusion que KandyKorn est la dernière étape de la chaîne d’exécution.

Les processus KandyKorn établissent ensuite une communication avec le serveur des pirates, lui permettant de se diversifier et de s’exécuter en arrière-plan.

Le malware n’interroge pas l’appareil et les applications installées mais attend les commandes directes des pirates, selon l’analyse, ce qui réduit le nombre de points finaux et d’artefacts réseau créés, limitant ainsi la possibilité de détection.

Le groupe de menaces a également utilisé le chargement binaire réfléchissant comme technique d’obscurcissement, ce qui permet au malware de contourner la plupart des programmes de détection.

« Les adversaires utilisent généralement des techniques d’obscurcissement telles que celle-ci pour contourner les capacités antimalware traditionnelles basées sur des signatures statiques », note le rapport.

Les échanges de crypto-monnaie sous le feu

Les échanges de crypto-monnaie ont subi une série de attaques de vol de clé privée en 2023, dont la plupart ont été attribuées au groupe Lazarus, qui utilise ses gains mal acquis pour financer le régime nord-coréen. Le FBI a récemment découvert que le groupe avait déplacé 1 580 bitcoins à partir de plusieurs braquages ​​​​de crypto-monnaie, détenant les fonds dans six adresses Bitcoin différentes.

En septembre, des attaquants ont été découverts ciblant les modélisateurs 3D et les graphistes avec des versions malveillantes d’un outil d’installation Windows légitime dans le cadre d’une campagne de vol de cryptomonnaie qui dure depuis au moins novembre 2021.

Un mois auparavant, les chercheurs avaient découvert deux campagnes de logiciels malveillants liées, baptisées CherryBlos et FakeTrade, qui ciblait les utilisateurs d’Android pour le vol de crypto-monnaie et d’autres escroqueries à motivation financière.

Menace croissante du DPKR

Une collaboration sans précédent entre diverses APT en République populaire démocratique de Corée (RPDC) les rend plus difficiles à suivre, ouvrant la voie à des cyberattaques agressives et complexes qui nécessitent des efforts de réponse stratégique, selon un récent rapport de Mandiant prévenu.

Par exemple, le dirigeant du pays, Kim Jong Un, possède un couteau suisse APT nommé Kimsuky, qui continue de répandre ses vrilles à travers le monde, indiquant qu’il n’est pas intimidé par le les chercheurs se rapprochent. Kimsuky a connu de nombreuses itérations et évolutions, notamment une division pure et simple en deux sous-groupes.

Entre-temps, le groupe Lazarus semble avoir ajouté un nouvelle porte dérobée complexe et toujours en évolution à son arsenal de logiciels malveillants, repéré pour la première fois lors d’un cyber-compromis réussi d’une entreprise aérospatiale espagnole.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici