In una recente rivelazione sulla sicurezza informatica, attori di minacce sponsorizzate dallo stato provenienti dalla Repubblica popolare democratica di Corea (RPDC) sono stati identificati attacchi a ingegneri blockchain associati a una piattaforma di scambio di criptovalute non divulgata.
Evoluzione del malware per Mac di Lazarus Group
Gli assalitori, collegato a il famigerato Gruppo Lazarus, ha implementato un sofisticato macOS il malware chiamato KANDYKORN, mostrando un nuovo livello di sofisticazione delle minacce informatiche.
Gli aggressori, mostrando un cambiamento strategico, si sono infiltrati nei loro obiettivi attraverso un server Discord pubblico, impersonando ingegneri blockchain. Utilizzo di tattiche di ingegneria sociale, le vittime sono state indotte a scaricare ed eseguire un archivio ZIP apparentemente innocuo, nascondendo il payload dannoso.
Il ricercatore sulla sicurezza Ricardo Ungureanu, Seth Goodwin, e Andrew Pease hanno dettagliato la complessità dell'attacco, rivelando che gli autori delle minacce hanno attirato le vittime con un'applicazione Python, alla fine violando l’ambiente attraverso molteplici fasi complesse, ciascuno impiega tecniche di evasione deliberata della difesa.
Questa non è la prima incursione del Lazarus Group nel malware macOS. Un attacco precedente ha coinvolto un'applicazione PDF con backdoor, portando alla distribuzione di RustBucket, una backdoor basata su AppleScript. La nuova campagna, tuttavia, si distingue fondendo la sofisticazione tecnica con un approccio innovativo di ingegneria sociale.
Svelato il malware KANDYKORN
Descritto come un impianto avanzato, KANDYKORN vanta una vasta gamma di capacità, compreso il monitoraggio, interazione, ed evitare il rilevamento. Utilizzando il caricamento riflettente, un modulo di esecuzione della memoria diretta, elude abilmente i metodi di rilevamento tradizionali, contribuendo alla sua natura sfuggente.
La distribuzione del malware prevede un processo in più fasi, avviato da uno script Python, “watcher.py,” che recupera gli script successivi da Google Drive. Il carico utile finale, KANDYKORN, viene eseguito in memoria, mostrando un livello di sofisticazione che sfida le misure convenzionali di sicurezza informatica.
I ricercatori sottolineano che la RPDC, in particolare attraverso unità come il Gruppo Lazarus, rimane impegnato a prendere di mira l’industria delle criptovalute. Il loro obiettivo principale è rubare criptovalute, eludere le sanzioni internazionali che ostacolano la loro crescita economica e le loro ambizioni.
Conclusione
Man mano che le minacce informatiche si evolvono, l’intersezione degli attori sponsorizzati dallo Stato, il malware avanzato, e l’ingegneria sociale rappresenta una sfida formidabile per la comunità della sicurezza informatica. La rivelazione di KANDYKORN sottolinea la necessità di una vigilanza costante, meccanismi di difesa adattivi, e collaborazione internazionale per salvaguardarsi dalla sempre crescente sofisticazione degli attori malintenzionati nel regno digitale.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: