Los hallazgos recientes de Elastic Security Labs han revelado una compleja violación cibernética ejecutada por hackers que se cree están vinculados al infame Grupo Lazarus de Corea del Norte. Esta operación, etiquetada como REF7001, incorporó un nuevo malware de macOS conocido como Kandykorn. Este malware fue diseñado específicamente para atacar a los ingenieros de blockchain que trabajan en plataformas de intercambio de criptomonedas.
Desenmascarando el malware Kandykorn y sus tácticas engañosas
El incidente vio a los hackers usando un programa Python duplicado disfrazado de bot de arbitraje de criptomonedas. El aspecto único de este ataque fue el método de distribución. Los hackers difundieron el malware a través de un mensaje privado en un servidor Discord público, una estrategia que no se usa comúnmente en las violaciones de macOS. Las víctimas creían que estaban instalando un bot de arbitraje, una herramienta de software que se aprovecha de las diferencias en las tasas de criptomonedas entre plataformas, según lo explicado por los investigadores de Elastic Security Labs.
Una vez instalado, el malware Kandykorn inicia una conexión con un servidor de comando y control (C2). Emplea RC4 encriptado y utiliza un mecanismo de saludo único. A diferencia de otros malware que busca activamente comandos, Kandykorn espera pacientemente a que se le den. Este enfoque innovador permite a los hackers mantener el control sobre los sistemas comprometidos de manera discreta.
Vinculando Kandykorn y el Grupo Lazarus
Elastic Security Labs ha ofrecido ideas significativas sobre las capacidades de Kandykorn, destacando su eficacia para realizar cargas y descargas de archivos, manipular procesos y ejecutar comandos de sistema arbitrarios. El uso del cargador binario reflectante por parte del malware, una técnica de ejecución sin archivos asociada al Grupo Lazarus, es motivo de preocupación. El Grupo Lazarus es conocido por su participación en el robo de criptomonedas y la evasión de sanciones internacionales.
Hay pruebas convincentes que vinculan este ataque al Grupo Lazarus en Corea del Norte. La similitud en las técnicas, la infraestructura de red, los certificados utilizados para firmar software malicioso y los métodos personalizados para detectar actividades del Grupo Lazarus apuntan a su participación. Las transacciones en cadena han revelado conexiones entre violaciones de seguridad en Atomic Wallet, Alphapo, CoinsPaid, Stake.com y CoinEx. Estos vínculos validan aún más la participación del Grupo Lazarus en estos ataques.
Protección contra amenazas cibernéticas sofisticadas
En otro incidente reciente, el Grupo Lazarus intentó comprometer las computadoras Apple que ejecutan macOS al engañar a los usuarios para que descarguen una aplicación de comercio de criptomonedas desde GitHub. Una vez que los usuarios instalaron el software y le otorgaron acceso administrativo, los atacantes obtuvieron acceso de puerta trasera al sistema operativo, lo que permitió el acceso remoto.
Al descubrir estos detalles, Elastic Security Labs ha iluminado las tácticas sofisticadas empleadas por el Grupo Lazarus, subrayando la necesidad de medidas sólidas de ciberseguridad para protegerse contra tales amenazas. Para estar al tanto de estas amenazas en constante evolución, considere utilizar herramientas como cryptoview.io, que pueden ayudar a monitorear y proteger sus activos digitales.
