Recenti scoperte di Elastic Security Labs hanno svelato una complessa violazione informatica eseguita da pirati informatici ritenuti collegati al famigerato gruppo Lazarus della Corea del Nord. Questa operazione, denominata REF7001, ha incorporato un nuovo malware macOS noto come Kandykorn. Questo malware è stato appositamente progettato per colpire gli ingegneri blockchain che lavorano su piattaforme di scambio di criptovalute.
Svelare il malware Kandykorn e le sue tattiche ingannevoli
L’incidente ha visto i pirati informatici utilizzare un programma Python doppio ingannevole mascherato da bot di arbitraggio di criptovaluta. L’aspetto unico di questo attacco è il metodo di distribuzione. I pirati informatici hanno diffuso il malware tramite un messaggio privato su un server Discord pubblico, una strategia che non è comunemente utilizzata nelle violazioni di macOS. Le vittime sono state portate a credere di installare un bot di arbitraggio, uno strumento software che sfrutta le differenze nei tassi di criptovaluta tra le piattaforme, come illustrato dai ricercatori di Elastic Security Labs.
All’installazione, il malware Kandykorn avvia una connessione con un server di comando e controllo (C2). Utilizza RC4 criptato e utilizza un meccanismo di handshake unico. A differenza di altri malware che cercano attivamente comandi, Kandykorn li aspetta pazientemente. Questo approccio innovativo consente ai pirati informatici di mantenere il controllo sui sistemi compromessi in modo discreto.
Collegamento tra Kandykorn e il gruppo Lazarus
Elastic Security Labs ha offerto importanti informazioni sulle capacità di Kandykorn, evidenziando la sua competenza nel caricare e scaricare file, manipolare processi ed eseguire comandi di sistema arbitrari. L’uso del caricamento binario riflesso da parte del malware, una tecnica di esecuzione senza file associata al gruppo Lazarus, è particolarmente preoccupante. Il gruppo Lazarus è noto per il suo coinvolgimento nel furto di criptovalute e nell’elusione delle sanzioni internazionali.
Ci sono prove convincenti che collegano questo attacco al gruppo Lazarus in Corea del Nord. La somiglianza nelle tecniche, nell’infrastruttura di rete, nei certificati utilizzati per firmare software dannosi e nei metodi personalizzati per rilevare le attività del gruppo Lazarus indica il loro coinvolgimento. Le transazioni on-chain hanno rivelato collegamenti tra violazioni della sicurezza presso Atomic Wallet, Alphapo, CoinsPaid, Stake.com e CoinEx. Questi collegamenti confermano ulteriormente il coinvolgimento del gruppo Lazarus in queste violazioni.
Proteggersi dalle sofisticate minacce informatiche
In un altro incidente recente, il gruppo Lazarus ha cercato di compromettere i computer Apple con macOS ingannando gli utenti a scaricare un’app di trading di criptovaluta da GitHub. Una volta installato il software e concessi i permessi amministrativi, gli attaccanti hanno ottenuto l’accesso al sistema operativo tramite una porta secondaria, consentendo l’accesso remoto.
Rivelando questi dettagli, Elastic Security Labs ha illuminato le tattiche sofisticate utilizzate dal gruppo Lazarus, sottolineando la necessità di robuste misure di sicurezza informatica per proteggersi da tali minacce. Per tenersi aggiornati su queste minacce in evoluzione, considera l’utilizzo di strumenti come cryptoview.io, che possono aiutare a monitorare e proteggere i tuoi asset digitali.
