En una reciente revelación de ciberseguridad, actores de amenazas patrocinados por el estado provenientes de la República Popular Democrática de Corea (RPDC) han sido identificados dirigidos a ingenieros de blockchain asociados con una plataforma de intercambio de cifrado no revelada.
La evolución del malware para Mac del grupo Lazarus
los agresores, vinculado a el famoso grupo Lázaro, implementó un sofisticado macOS el malware llamado KANDYKORN, mostrando un nuevo nivel de sofisticación en amenazas cibernéticas.
los atacantes, mostrando un cambio estratégico, se infiltraron en sus objetivos a través de un servidor público de Discord, haciéndose pasar por ingenieros de blockchain. Emplear tácticas de ingeniería social, las víctimas fueron incitadas a descargar y ejecutar un archivo ZIP aparentemente inofensivo, ocultando la carga maliciosa.
Investigadores de seguridad Ricardo Ungureanu, Seth Goodwin, y Andrew Pease detallaron la complejidad del ataque., revelando que los actores de amenazas atrajeron a las víctimas con una aplicación Python, en última instancia, violando el medio ambiente a través de múltiples etapas intrincadas, cada uno de los cuales emplea técnicas deliberadas de evasión de defensa..
Esta no es la primera incursión del Grupo Lazarus en el malware para macOS. Un ataque anterior involucró una aplicación PDF con puerta trasera, lo que lleva al despliegue de RustBucket, una puerta trasera basada en AppleScript. La nueva campaña, sin embargo, se distingue por combinar sofisticación técnica con un enfoque innovador de ingeniería social.
Se revela el malware KANDYKORN
Descrito como un implante avanzado., KANDYKORN cuenta con una gama de capacidades, incluido el seguimiento, Interacción, y evitar la detección. Utilizando carga reflectante, una forma de ejecución de memoria directa, evita hábilmente los métodos de detección tradicionales, contribuyendo a su naturaleza esquiva.
La entrega del malware implica un proceso de varias etapas., iniciado por un script de Python, “observador.py,” que recupera scripts posteriores de Google Drive. La carga útil final, KANDYKORN, se ejecuta en la memoria, mostrando un nivel de sofisticación que desafía las medidas convencionales de ciberseguridad.
Los investigadores destacan que la RPDC, particularmente a través de unidades como el Grupo Lazarus, sigue comprometido a apuntar a la industria de la criptografía. Su objetivo principal es robar criptomonedas., eludir las sanciones internacionales que obstaculizan su crecimiento económico y sus ambiciones.
Conclusión
A medida que evolucionan las ciberamenazas, la intersección de actores patrocinados por el estado, malware avanzado, y la ingeniería social presenta un desafío formidable para la comunidad de la ciberseguridad. La revelación de KANDYKORN subraya la necesidad de una vigilancia constante, mecanismos de defensa adaptativos, y colaboración internacional para protegerse contra la creciente sofisticación de actores maliciosos en el ámbito digital.