KandyKorn: il malware Lazarus che colpisce i blockchain engineer

Il gruppo di hacker nordcoreano Lazarus ha lanciato una campagna malware che prende di mira gli ingegneri blockchain di una piattaforma di scambio di criptovalute, diffondendo un malware per macOS chiamato “KandyKorn”. Elastic Security Lab, la società di scurezza che ha scoperto l’attacco, ha dichiarato che gli aggressori hanno sfruttato una combinazione di funzionalità personalizzate e open source per l’accesso iniziale e lo sfruttamento successivo. Gli hacker si spacciano per membri della community di criptovalute sui canali Discord e diffondono moduli basati su Python che innescano una catena di infezione KandyKorn a più fasi. I ricercatori di Elastic Security hanno attribuito questi attacchi a Lazarus sulla base di sovrapposizioni con campagne passate simili.

KandyKorn: come Lazarus ha diffuso il malware

Nel report pubblicato sul proprio blog, Elastic Security ha dichiarato che Lazarus ha utilizzato il social-engineering (in grado di colpire direttamente i dipendenti di un'azienda) per convincere le vittime a scaricare e decomprimere un file ZIP denominato “Cross-platform Bridges.zip”, contenente il codice dannoso. La vittima credeva di installare un bot di arbitraggio legittimo, progettato per la generazione automatizzata di profitti dalle transazioni di criptovaluta. Una volta installato, lo script Python dannoso (“Main.py”) importa 13 moduli da un numero uguale di scpript nello ZIP, avviando il primo payload “Watcher.py”. Quest’ultimo è un downloader che decomprime ed esegue un secondo ed un terzo script Python, chiamati “testSpeed.py” e “FinderTools” (quest’ultimo scaricato da un URL di Google Drive). FinderTools è un dropper che recupera e lancia un binario offuscato chiamato “SugarLoader”. Questo stabilisce una connessione con il server di comando e controllo (C2), per ottenere il payload finale “KandyKorn” in memoria.

Nella fase finale dell’attacco viene utilizzato il caricatore HLoader, che impersona Discord e utilizza tecniche di firma del codice binario macOS, come nelle precedenti campagne Lazarus. HLoader stabilisce la persistenza per SugarLoader, dirottando la vera app Discord sul sistema infetto, seguendo una serie di azione di ridenominazione binaria. KandyKorn consente a Lazarus di accedere al computer infetto e rubare i dati. Questo malware funziona come una backdoor particolarmente furtiva che può recuperare dati, elencare directory, caricare o scaricare file ed eseguire comandi. Secondo Elastic Security, il settore delle criptovalute è un obiettivo primario di Lazarus, grazie alla possibilità di guadagno in termini finanziari. Elastic ha tracciato questa campagna già ad aprile 2023. La società di sicurezza sottolinea infine che l’attacco a macOS dimostra l’eccezionale capacità di Lazarus di creare malware sofisticati e furtivi su misura per Apple.