O melhor pedaço da Maçã.
Lifars
Malware

macOS: malware encontrado no Discord mira engenheiros de blockchain

Pesquisadores da firma de segurança Elastic Security Labs identificaram um novo malware para macOS capaz de fazer o download e o upload de arquivos, manipular processos e até executar comandos do sistema arbitrariamente. Chamado KANDYKORN, ele é mais uma criação do famoso grupo cracker Lazarus Group e mira engenheiros de blockchain.

Publicidade

Em um relatório publicado nesta semana, os pesquisadores explicaram que a ameaça (catalogada como REF7001) tem como objetivo roubar criptomoedas e foi identificada em servidores do Discord especializados nesse tipo de assunto. Os cibercriminosos, por sua vez, estariam usando engenharia social para convencer participantes dessas comunidades a baixar um arquivo ZIP com que o seria um bot de arbitragem para lucrar com diferenças nas variações de criptomoedas.

Acontece que esse arquivo, intitulado Cross-Platform Bridges.zip, inicia um código em Python chamado watcher.py quando descompactado, o qual recupera diretamente do Google Drive dois scripts: o TestSpeed.py e o FinderTools. Esse scripts, por sua vez, são usados para baixar e executar um binário ofuscado intitulado Sugarloader, que se encarrega de dar o acesso inicial à máquina e de preparar os estágios finais do malware, que também envolvem um ferramenta chamada Hloader — justamente o item que vinha disfarçado de um app legítimo dentro do arquivo ZIP.

A partir daí, o KANDYKORN — que em sua fase final é um RAT residente de memória — já está em pleno funcionamento. O malware se comunica com os membros do Lazarus Group usando servidores de comando e controle (C2) com criptografia de dados RC4.

Publicidade

Como dito, ele oferece uma variedade de possibilidades para visualizar e extrair dados do usuário, bem como manipular uma série de aspectos do Mac. Ainda segundo os pesquisadores, a ameaça utiliza carregamento reflexivo (reflective loading), “uma forma de execução de memória direta que pode evitar detecções”.

A Elastic Security Labs deixou claro que, mesmo após a sua descoberta, o KANDYKORN ainda é uma ameaça ativa e que continua sendo ativamente aprimorada. A firma também acusa o Lazarus Group de estar envolvido com o governo da República Popular Democrática da Coreia (também conhecida como Coreia do Norte ou Coreia Popular).

Mais detalhes sobre o malware podem ser encontrados nessa página.

via SensorsTechForum.com

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Benchmarks do chip M3 Max têm números semelhantes aos do M2 Ultra

Próx. Post

Vivaldi 6.4 ganha sincronização entre sistemas, interface para iPads e mais

Posts Relacionados