Pesquisadores da firma de segurança Elastic Security Labs identificaram um novo malware para macOS capaz de fazer o download e o upload de arquivos, manipular processos e até executar comandos do sistema arbitrariamente. Chamado KANDYKORN, ele é mais uma criação do famoso grupo cracker Lazarus Group e mira engenheiros de blockchain.
Em um relatório publicado nesta semana, os pesquisadores explicaram que a ameaça (catalogada como REF7001
) tem como objetivo roubar criptomoedas e foi identificada em servidores do Discord especializados nesse tipo de assunto. Os cibercriminosos, por sua vez, estariam usando engenharia social para convencer participantes dessas comunidades a baixar um arquivo ZIP com que o seria um bot de arbitragem para lucrar com diferenças nas variações de criptomoedas.
Acontece que esse arquivo, intitulado Cross-Platform Bridges.zip
, inicia um código em Python chamado watcher.py
quando descompactado, o qual recupera diretamente do Google Drive dois scripts: o TestSpeed.py
e o FinderTools
. Esse scripts, por sua vez, são usados para baixar e executar um binário ofuscado intitulado Sugarloader
, que se encarrega de dar o acesso inicial à máquina e de preparar os estágios finais do malware, que também envolvem um ferramenta chamada Hloader — justamente o item que vinha disfarçado de um app legítimo dentro do arquivo ZIP.
A partir daí, o KANDYKORN — que em sua fase final é um RAT residente de memória — já está em pleno funcionamento. O malware se comunica com os membros do Lazarus Group usando servidores de comando e controle (C2) com criptografia de dados RC4.
Como dito, ele oferece uma variedade de possibilidades para visualizar e extrair dados do usuário, bem como manipular uma série de aspectos do Mac. Ainda segundo os pesquisadores, a ameaça utiliza carregamento reflexivo (reflective loading), “uma forma de execução de memória direta que pode evitar detecções”.
A Elastic Security Labs deixou claro que, mesmo após a sua descoberta, o KANDYKORN ainda é uma ameaça ativa e que continua sendo ativamente aprimorada. A firma também acusa o Lazarus Group de estar envolvido com o governo da República Popular Democrática da Coreia (também conhecida como Coreia do Norte ou Coreia Popular).
Mais detalhes sobre o malware podem ser encontrados nessa página.