Secondo una ricerca di Elastic Security Labs, gli operatori di malware KandyKorn prendono di mira gli ingegneri blockchain delle piattaforme di scambio criptovalute.
KandyKorn e Lazarus
KandyKorn è un malware sofisticato in grado di dirottare i dispositivi macOS e distribuire malware aggiuntivo. Si tratterebbe di una backdoor progettata per estrarre dati, caricare/scaricare file, terminare processi ed eseguire vari comandi e distribuita in questa campagna tramite e-mail di phishing apparentemente inviate da legittime società di sviluppo blockchain.
Il malware, KandyKorn, è stato collegato al gruppo nation-state nordcoreano Lazarus noto per prendere di mira gli scambi di criptovaluta, gli investitori e le infrastrutture occidentali critiche.
Il flusso di esecuzione
Gli utenti vengono indotti con l’inganno a scaricare un archivio ZIP dannoso intitolato “Cross-platform Bridges.zip”.
Questo file imita un bot di arbitraggio creato per la generazione automatizzata di profitti, ma in realtà importa tredici moduli dannosi.
Una volta installato sul dispositivo, il malware inizia a rubare un’ampia gamma di dati, utilizzando i dispositivi compromessi per lanciare attacchi contro nuovi obiettivi.
Il flusso di esecuzione, come notato da Elastic Security Labs, è costituito da 4 fasi: compromissione iniziale, dropper, payload, loader, KandyKorn.
KandyKorn è difficile da rilevare poiché utilizza molteplici tecniche per eludere il rilevamento da parte dei processi di sicurezza e persistente su macOS tramite il dirottamento del flusso di esecuzione.
Come proteggersi
Come tutti, anche gli utenti di dispositivi macOS devono prestare attenzione a questi tipi di minaccia, verificando l’origine dell’e-mail prima di aprire qualsiasi allegato o link, mantenendo aggiornati software, applicazioni, antivirus e sistemi operativi.