Il gruppo Lazarus dietro una nuova campagna di furto criptovalute

Secondo una ricerca di Elastic Security Labs, gli operatori di malware KandyKorn prendono di mira gli ingegneri blockchain delle piattaforme di scambio criptovalute.

KandyKorn e Lazarus

KandyKorn è un malware sofisticato in grado di dirottare i dispositivi macOS e distribuire malware aggiuntivo. Si tratterebbe di una backdoor progettata per estrarre dati, caricare/scaricare file, terminare processi ed eseguire vari comandi e distribuita in questa campagna tramite e-mail di phishing apparentemente inviate da legittime società di sviluppo blockchain.

Il malware, KandyKorn, è stato collegato al gruppo nation-state nordcoreano Lazarus noto per prendere di mira gli scambi di criptovaluta, gli investitori e le infrastrutture occidentali critiche.

Il flusso di esecuzione

Gli utenti vengono indotti con l’inganno a scaricare un archivio ZIP dannoso intitolato “Cross-platform Bridges.zip”.

Questo file imita un bot di arbitraggio creato per la generazione automatizzata di profitti, ma in realtà importa tredici moduli dannosi.

Una volta installato sul dispositivo, il malware inizia a rubare un’ampia gamma di dati, utilizzando i dispositivi compromessi per lanciare attacchi contro nuovi obiettivi.

Il flusso di esecuzione, come notato da Elastic Security Labs, è costituito da 4 fasi: compromissione iniziale, dropper, payload, loader, KandyKorn.

Fonte Elastic Security Labs

KandyKorn è difficile da rilevare poiché utilizza molteplici tecniche per eludere il rilevamento da parte dei processi di sicurezza e persistente su macOS tramite il dirottamento del flusso di esecuzione.

Come proteggersi

Come tutti, anche gli utenti di dispositivi macOS devono prestare attenzione a questi tipi di minaccia, verificando l’origine dell’e-mail prima di aprire qualsiasi allegato o link, mantenendo aggiornati software, applicazioni, antivirus e sistemi operativi.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.