Descobertas recentes do Elastic Security Labs revelaram uma complexa violação cibernética executada por hackers que se acredita estarem ligados ao infame grupo Lazarus da Coreia do Norte. Essa operação, chamada de REF7001, incorporou um novo malware para macOS conhecido como Kandykorn. Esse malware foi precisamente projetado para atacar engenheiros de blockchain que trabalham em plataformas de troca de criptomoedas.
Desmascarando o Malware Kandykorn e suas Táticas Enganosas
O incidente viu os hackers usando um programa Python duplicado disfarçado de um bot de arbitragem de criptomoedas. O aspecto único desse ataque foi o método de distribuição. Os hackers disseminaram o malware por meio de uma mensagem privada em um servidor Discord público, uma estratégia que não é comumente usada em violações de macOS. As vítimas foram levadas a acreditar que estavam instalando um bot de arbitragem, uma ferramenta de software que capitaliza as diferenças nas taxas de criptomoedas entre plataformas, conforme elucidado pelos pesquisadores do Elastic Security Labs.
Após a instalação, o malware Kandykorn inicia uma conexão com um servidor de comando e controle (C2). Ele usa RC4 criptografado e um mecanismo de handshake exclusivo. Ao contrário de outros malwares que procuram ativamente comandos, o Kandykorn aguarda pacientemente por eles. Essa abordagem inovadora permite que os hackers mantenham o controle sobre os sistemas comprometidos de forma discreta.
Vinculando o Kandykorn e o Grupo Lazarus
O Elastic Security Labs ofereceu informações significativas sobre as capacidades do Kandykorn, destacando sua proficiência em realizar upload e download de arquivos, manipulação de processos e execução de comandos arbitrários do sistema. O uso do carregamento binário reflexivo pelo malware, uma técnica de execução sem arquivos associada ao grupo Lazarus, é motivo de preocupação. O grupo Lazarus é conhecido por seu envolvimento em roubo de criptomoedas e evasão de sanções internacionais.
Há evidências convincentes que ligam esse ataque ao grupo Lazarus na Coreia do Norte. A semelhança nas técnicas, infraestrutura de rede, certificados usados para assinar software malicioso e métodos personalizados para detectar atividades do grupo Lazarus, todos apontam para o envolvimento deles. Transações on-chain revelaram conexões entre violações de segurança na Atomic Wallet, Alphapo, CoinsPaid, Stake.com e CoinEx. Essas conexões validam ainda mais o envolvimento do grupo Lazarus nesses ataques.
Protegendo-se contra Ameaças Cibernéticas Sofisticadas
Em outro incidente recente, o grupo Lazarus tentou comprometer computadores Apple executando o macOS, enganando os usuários para que baixassem um aplicativo de negociação de criptomoedas do GitHub. Depois que os usuários instalaram o software e concederam acesso administrativo, os atacantes obtiveram acesso aos sistemas operacionais por meio de uma porta dos fundos, permitindo acesso remoto.
Ao descobrir esses detalhes, o Elastic Security Labs iluminou as táticas sofisticadas empregadas pelo grupo Lazarus, destacando a necessidade de medidas fortes de cibersegurança para se proteger contra essas ameaças. Para se manter atualizado sobre essas ameaças em constante evolução, considere usar ferramentas como cryptoview.io, que podem ajudar a monitorar e proteger seus ativos digitais.
