Βορειοκορεάτες hackers, που πιθανότατα σχετίζονται με την ομάδα Lazarus, στοχεύουν blockchain engineers που ασχολούνται με πλατφόρμες ανταλλαγής crypto. Οι hackers χρησιμοποιούν ένα νέο macOS malware που ονομάζεται Kandykorn.
Αυτή η επίθεση, η οποία παρακολουθείται ως REF7001 από την Elastic Security Labs, χρησιμοποίησε έναν συνδυασμό custom και open source λύσεων για να αποκτήσει πρόσβαση και να συνεχίσει με την εκμετάλλευση συστημάτων macOS.
Οι ερευνητές ασφαλείας είπαν ότι η επίθεση ξεκίνησε όταν οι επιτιθέμενοι υποδύθηκαν μέλη της κοινότητας blockchain engineering σε έναν δημόσιο διακομιστή Discord. Οι hackers έπεισαν τα θύματα να κατεβάσουν και να κάνουν decompress ένα αρχείο ZIP που περιέχει κακόβουλο κώδικα. Το θύμα πίστευε ότι εγκαθιστούσε ένα arbitrage bot για να επωφεληθεί από τις διαφορές στις τιμές crypto.
Δείτε επίσης: Η FSB συνέλαβε Ρώσους hackers που βοηθούσαν την Ουκρανία
Η επίθεση περιελάμβανε πέντε στάδια:
- Αρχική παραβίαση: Μια εφαρμογή Python με το όνομα Watcher.py εμφανίζεται ως arbitrage bot και διανέμεται μέσα σε ένα αρχείο .zip με τίτλο “Cross-Platform Bridges.zip“.
- Dropper: Το TestSpeed.py και το FinderTools χρησιμοποιήθηκαν ως ενδιάμεσα dropper scripts για τη λήψη και την εκτέλεση του Sugarloader.
- Payload: Το Sugarloader, ένα obfuscated binary, χρησιμοποιήθηκε για αρχική πρόσβαση και ως loader για το τελικό στάδιο, το Kandykorn.
- Loader: Το Hloader, ένα payload που μεταμφιέζεται στη νόμιμη εφαρμογή Discord, χρησιμοποιήθηκε ως μηχανισμός persistence για τη φόρτωση του Sugarloader.
- Payload: Το Kandykorn, το τελικό στάδιο της εισβολής, επέτρεπε την πρόσβαση και την κλοπή δεδομένων.
Το macOS malware Kandykorn επικοινωνεί με έναν command-and-control (C2) server χρησιμοποιώντας κρυπτογραφημένο RC4 και χρησιμοποιεί έναν μοναδικό μηχανισμό handshake, περιμένοντας εντολές. Η αναφορά της Elastic περιγράφει λεπτομερώς διάφορες εντολές που μπορεί να εκτελέσει το Kandykorn. Κάποιες από αυτές περιλαμβάνουν την αποστολή και λήψη αρχείων, το χειρισμό διεργασιών και την εκτέλεση εντολών συστήματος.
Δείτε επίσης: Turla hackers: Νέα πιο επικίνδυνη έκδοση του Kazuar backdoor
Οι ερευνητές τόνισαν τη χρήση του reflective binary loading, που μπορεί να παρακάμψει τις παραδοσιακές μεθόδους ανίχνευσης. Αυτός ο τύπος εκτέλεσης fileless έχει παρατηρηθεί σε επιθέσεις
των Lazarus hackers, με έμφαση στην κλοπή cryptocurrency για την παράκαμψη των διεθνών κυρώσεων.Προστασία από malware
Ένας από τους καλύτερους τρόπους για να προστατεύσετε τη συσκευή σας από MacOS malware είναι να εγκαταστήσετε ένα αξιόπιστο antivirus πρόγραμμα. Τα antivirus προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν κακόβουλο λογισμικό πριν προλάβει να προκαλέσει ζημιά στο σύστημά σας. Επιλέξτε ένα antivirus που προσφέρει συνεχείς ενημερώσεις και προστασία από τις πιο πρόσφατες απειλές.
Ένας άλλος σημαντικός τρόπος πρόληψης είναι να ενημερώνετε το λειτουργικό σας σύστημα και τις εφαρμογές σας σε τακτική βάση. Οι ενημερώσεις περιέχουν συχνά βελτιώσεις ασφαλείας που μπορούν να αποτρέψουν την εισβολή κακόβουλου λογισμικού. Βεβαιωθείτε ότι έχετε ενεργοποιήσει τις αυτόματες ενημερώσεις για να μην χάσετε καμία σημαντική αναβάθμιση.
Δείτε επίσης: Κυβερνοκατασκοπεία: Οι Ιρανοί hackers Scarred Manticore στοχεύουν οργανισμούς στη Μέση Ανατολή
Επιπλέον, είναι σημαντικό να είστε προσεκτικοί με τον τρόπο που κατεβάζετε και εγκαθιστάτε εφαρμογές στο MacOS σύστημά σας. Αποφύγετε το κατέβασμα apps από μη αξιόπιστες πηγές και προτιμήστε το Mac App Store για να βεβαιωθείτε ότι οι εφαρμογές είναι επίσημες και ασφαλείς. Επίσης, διαβάστε τις κριτικές και τις αξιολογήσεις άλλων χρηστών πριν εγκαταστήσετε μια εφαρμογή.
Τέλος, μια καλή πρακτική για την πρόληψη του MacOS malware είναι να απενεργοποιήσετε την αυτόματη εκτέλεση ανεπιθύμητων εφαρμογών και αρχείων. Ορισμένα malware μπορεί να εκμεταλλευτούν αυτήν τη λειτουργία για να εισβάλουν στο σύστημά σας. Ρυθμίστε τις προτιμήσεις του συστήματός σας έτσι ώστε να απαιτείται η έγκρισή σας πριν από την εκτέλεση ανεπιθύμητων αρχείων.
Πηγή: www.infosecurity-magazine.com