Em uma recente revelação de segurança cibernética, atores de ameaças patrocinados pelo Estado vindos da República Popular Democrática da Coreia (RPDC) foram identificados visando engenheiros de blockchain associados a uma plataforma de troca de criptografia não divulgada.
Evolução do malware para Mac do Lazarus Group
Os agressores, ligado a o notório Grupo Lázaro, implantou um macOS sofisticado malwares chamado KANDYKORN, apresentando um novo nível de sofisticação de ameaças cibernéticas.
Os atacantes, mostrando uma mudança estratégica, infiltraram seus alvos através de um servidor Discord público, se passando por engenheiros de blockchain. Empregando táticas de engenharia social, as vítimas foram atraídas a baixar e executar um arquivo ZIP aparentemente inócuo, ocultando a carga maliciosa.
Pesquisadores de segurança Ricardo Ungureanu, Seth Goodwin, e Andrew Pease detalhou a complexidade do ataque, revelando que os atores da ameaça atraíram as vítimas com um aplicativo Python, em última análise, violando o meio ambiente através de vários estágios intrincados, cada um empregando técnicas deliberadas de evasão de defesa.
Esta não é a primeira incursão do Grupo Lazarus no malware macOS. Um ataque anterior envolveu um aplicativo PDF backdoor, levando à implantação do RustBucket, um backdoor baseado em AppleScript. A nova campanha, Contudo, se diferencia por combinar sofisticação técnica com uma abordagem inovadora de engenharia social.
Malware KANDYKORN revelado
Descrito como um implante avançado, KANDYKORN possui uma gama de recursos, incluindo monitoramento, interação, e prevenção de detecção. Utilizando carregamento reflexivo, um formulário de execução de memória direta, ele evita habilmente os métodos tradicionais de detecção, contribuindo para a sua natureza indescritível.
A entrega do malware envolve um processo de vários estágios, iniciado por um script Python, “observador.py,” que recupera scripts subsequentes do Google Drive. A carga final, KANDYKORN, é executado na memória, apresentando um nível de sofisticação que desafia as medidas convencionais de segurança cibernética.
Os investigadores sublinham que a RPDC, particularmente através de unidades como o Grupo Lazarus, continua comprometido em atingir a indústria de criptografia. Seu objetivo principal é roubar criptomoedas, contornar as sanções internacionais que prejudicam o seu crescimento económico e as suas ambições.
Conclusão
À medida que as ameaças cibernéticas evoluem, a intersecção de atores patrocinados pelo Estado, malwares avançados, e a engenharia social apresenta um desafio formidável para a comunidade de segurança cibernética. A revelação KANDYKORN ressalta a necessidade de vigilância constante, mecanismos de defesa adaptativos, e colaboração internacional para proteger contra a sofisticação cada vez maior de atores maliciosos no mundo digital.