Un nuovo malware per macOS, soprannominato “KandyKorn”, è stato rilevato in una campagna attribuita al gruppo di hacker nordcoreano Lazarus, che prende di mira gli ingegneri blockchain di una piattaforma di scambio di criptovalute. Gli aggressori si spacciano per membri della comunità delle criptovalute sui canali Discord per diffondere moduli basati su Python che innescano una catena di infezione multi-stadio di KandyKorn.
Tattiche di ingegneria sociale e infezione
L’attacco inizia su Discord con attacchi di ingegneria sociale mirati a indurre le vittime a scaricare un archivio ZIP malevolo denominato “Cross-platform Bridges.zip”. La vittima viene indotta a credere di scaricare un legittimo bot di arbitraggio progettato per generare profitti automatici dalle transazioni di criptovalute. Invece, lo script Python contenuto (“Main.py”) importerà 13 moduli da un numero uguale di script nell’archivio, lanciando il primo payload, “Watcher.py”.
La catena di infezione di KandyKorn
Watcher.py è un downloader che estrae ed esegue un secondo script Python chiamato “testSpeed.py” insieme a un altro file Python chiamato “FinderTools”, scaricato da un URL di Google Drive. FinderTools è un dropper che recupera e lancia un binario offuscato chiamato “SugarLoader”, che appare sotto due nomi e istanze, come eseguibili Mach-O .sld e .log. Sugarloader stabilisce una connessione con il server di comando e controllo (C2) per ottenere e caricare il payload finale, KandyKorn, nella memoria utilizzando il caricamento binario riflettente.
Persistenza su macOS e tecniche di mascheramento
Nella fase finale dell’attacco, viene utilizzato un loader noto come HLoader, che impersona Discord e utilizza tecniche di firma del codice binario di macOS viste in precedenti campagne di Lazarus. HLoader stabilisce la persistenza per SugarLoader dirottando la vera app Discord sul sistema infetto, seguendo una serie di azioni di rinominazione binaria.
Capacità di KandyKorn
KandyKorn è un payload finale avanzato che consente a Lazarus di accedere e rubare dati dal computer infetto. Opera in background come un demone, in attesa di comandi dal server C2 e evitando di inviare segnali per minimizzare le sue tracce sul sistema. KandyKorn supporta 16 comandi che vanno dalla terminazione del programma, raccolta di informazioni di sistema, elenco dei contenuti delle directory, upload e download di file, cancellazione sicura, terminazione di processi e esecuzione di comandi.
Implicazioni per il settore delle criptovalute
Il settore delle criptovalute rimane un obiettivo primario per Lazarus, principalmente motivato dal guadagno finanziario piuttosto che dalla spionaggio, che è il loro altro principale focus operativo. L’esistenza di KandyKorn sottolinea che macOS è ben nel mirino di Lazarus, dimostrando l’eccezionale capacità del gruppo di minaccia di creare malware sofisticato e discreto su misura per i computer Apple.