‘KandyKorn’ un nuevo malware dirigido a ingenieros de blockchain

0
752

Esta semana, la firma de investigación de inteligencia de seguridad Elastic Security Labs, reveló mediante un extenso y completo informe una campaña maliciosa dirigida específicamente a ingenieros y desarrolladores de blockchain de una plataforma de criptointercambio (no identificada) que emplean el sistema operativo macOS.

De acuerdo con Elastic Security Labs, la intrusión aprovechó una combinación de capacidades personalizadas y de código abierto para el acceso inicial y posterior a la explotación del malware que facilitaría a los atacantes identificados como norcoreanos de Lazarus Groupcargar archivos binarios en la memoria, lo cual es atípico de las intrusiones de macOS”.

Lazarus Group es un grupo de ciberdelincuentes establecidos en Corea del Norte, que está integrado por un número desconocido de individuos. Aunque no se sabe mucho sobre el grupo, investigadores forenses informáticos les han atribuido muchos ciberataques durante la última década, algunos de los cuales son de muy alto perfil en el ecosistema de las criptomonedas.

Elastic Security Labs, afirmó que descubrieron la intrusión mediante el análisis de “los intentos de cargar de forma reflexiva un binario en la memoria en un terminal macOS”, la cual “se rastreó hasta una aplicación Python que se hacía pasar por un robot de arbitraje de criptomonedas enviada a través de un mensaje directo en un servidor público de Discord”.

La firma de investigación de inteligencia de seguridad, afirmó que se hizo seguimiento de esta actividad y se llegó hasta la República Popular Democrática de Corea (Corea del Norte), por lo que pudieron reconocer a actores de Lazarus Group.

El análisis de las técnicas, la infraestructura de red, los certificados de firma de código y las reglas de detección personalizadas fueron claves para atribuir el ciberataque al Lazarus Group; dejando registrada su intrusión como REF7001.

Elastic Security Labs, concluyó que este ciberataque había sido diseñado exclusivamente para ingenieros de blockchain, gracias a una aplicación desarrollada en Python para obtener acceso inicial al entorno de macOS.

Básicamente, dicha “intrusión involucró múltiples etapas complejas en las que cada una empleaba técnicas deliberadas de evasión de defensa”, lo cual demuestra el grado de sofisticación de Lazarus Group, que además, empleó un ciberataque que estaba diseñado para generar intrusiones en un sistema macOS, buscando realizar la carga archivos binarios en la memoria del equipo denominado KANDYKORN.

Una vez que se ha cargado el malware KANDYKORN, el ciberatacante afiliado a Corea del Norte puede ejecutar ataques cifrados de comando y control (C&C), realizar la enumeración del sistema, cargar y ejecutar cargas útiles adicionales, comprimir y filtrar datos, matar procesos, así como también, ejecutar comandos arbitrarios del sistema a través de un pseudoterminal interactivo.

La campaña maliciosa, apuntó a los ingenieros y desarrolladores de blockchain activos en un servidor de chat público de Discord donde hablaban de sus habilidades e intereses, con la promesa subyacente de ganancias financieras.

Dentro del Chat que se usó como señuelo, mediante ataques de ingeniería social a los objetivos, se buscó engañarlos para que descarguen un archivo ZIP malicioso llamado ‘Cross-platform Bridges.zip’.

Para Elastic Security Labs, este ciberataque de los actores de Lazarus Group, demuestra que dicho grupo continúa “apuntando a las empresas de la criptoindustria con el objetivo de robar criptomonedas para eludir las sanciones internacionales que obstaculizan el crecimiento de su economía y sus ambiciones”.

Esto confirma lo señalado en un informe del Consejo de Seguridad de la Organización de las Naciones Unidas (ONU) del pasado mes de septiembre de 2023, que señala que ciberatacantes patrocinados por el gobierno de Corea del Norte fueron encontrados responsables de robar criptomonedas por un monto de 1.700 millones de dólares en 2022.

Asimismo, un Panel de Expertos de la ONU señaló que el gobierno norcoreano de Kim Jong-un utiliza ese dinero para financiar su programa de armas nucleares. Además este panel, advirtió que el robo realizado al ecosistema de las criptomonedas el año pasado ha sido tres veces superior al que fue efectuado en 2021.

Las personas que trabajan en la oficina gubernamental a cargo de estas tareas utilizan técnicas cibernéticas cada vez más sofisticadas para robar dinero e información”, afirmó el Panel de Expertos. Asimismo, en el informe hace referencia a que estos actores están ligados al área de inteligencia de Corea del Norte.

El informe puntualizó que especialmente las empresas dedicadas a las criptomonedas fueron víctimas de estos ciberataques, al igual que otras compañías de otros sectores, como defensa, energía y salud.

El Consejo de Seguridad, alentó a los Estados Miembros a estar atentos a la evasión de sanciones financieras por parte de la República Popular Democrática de Corea mediante el uso de entidades de ese país designadas por las Naciones Unidas.

Mientras que el Panel de Expertos también alientan a los Estados Miembros a proporcionar nombres de empresas y otros datos de identificación al Panel y/o Comité, según corresponda, para efectuar la investigación correspondiente.

No cabe duda, que cada vez más el gobierno de Corea del Norte, seguirá buscando nuevas formas y maneras de obtener fondos para mantener su programa armamentístico nuclear en medio de la batería de sanciones a la que ha sido sometido ese país por parte del Consejo de Seguridad de la ONU.

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"