Шпионаж через Discord: KANDYKORN от Lazarus нацелен на криптоинвесторов с macOS

В последние недели обострилась активность северокорейских хакеров. Как выяснили специалисты Elastic Security Labs , новая киберугроза связана со сложным вредоносным ПО — KANDYKORN, нацеленным на пользователей macOS в криптовалютной индустрии. Для распространения программы используется мессенджер Discord. Злоумышленники под видом блокчейн-разработчиков предлагают жертвам инструменты, якобы позволяющие извлекать прибыль из арбитражных операций с криптовалютой.

Эксперты связывают последнюю кампанию, которая началась в апреле 2023 года, с действиями известной хакерской группировки Lazarus — методы атак и сетевая инфраструктура очень похожи на их почерк.

Жертву просят загрузить ZIP-архив со встроенным вредоносным кодом. Пользователь верит, что скачивает приложение для криптовалютной торговли, но на самом деле программа нужна, чтобы хакеры могли получить первоначальный доступ к системе.

«Атака реализуется в серии сложных этапов, каждый из которых включает специализированные методы обхода систем защиты», — объясняют в своем отчете исследователи Рикардо Унгуряну, Сет Гудвин и Эндрю Пиз.

В этом году хакеры из группы Lazarus уже атаковали пользователей macOS через зараженные PDF-файлы. Когда жертва открывала документ, на компьютере активировалась скрытая угроза — бэкдор RustBucket, написанный на языке AppleScript. Он, в свою очередь, незаметно подгружал другие вредоносные компоненты с внешнего сервера.

KANDYKORN работает непосредственно в оперативной памяти устройств на базе macOS. Эта программа-шпион способна не только собирать информацию с заражённого компьютера, но и запускать новые вредоносные операции, прерывать работу отдельных приложений и выполнять различные команды злоумышленников по мере необходимости.

Основная сложность атаки заключается в применении цепочки дропперов — промежуточных звеньев, которые облегчают установку основного ПО. Процесс начинается с Python-скрипта watcher.py — он содержится в первоначальном ZIP-архиве и действует как первый дроппер. Затем загружается второй скрипт, testSpeed.py, с облачного хранилища Google Drive. Он открывает путь для скачивания FinderTools, другого компонента, также расположенного на Google Drive.

FinderTools активирует SUGARLOADER — скрытый вспомогательный модуль, который маскируется под системные файлы в директориях /Users/shared/.sld и.log. Этот компонент завершает подготовку системы к заражению и создают благоприятные условия для внедрения основного кода, минуя стандартные антивирусные решения.

Только потом устанавливается связь с удаленным сервером для загрузки KANDYKORN и его выполнения в памяти компьютера.

Чтобы скрыть свою активность, вредоносное ПО использует HLOADER — специально сконструированный файл, написанный на языке программирования Swift. На первый взгляд он не отличается от обычного приложения Discord. Его главная задача — осуществлять захват потока выполнения». Это значит, что HLOADER встраивается в процесс запуска обычных, легитимных программ, оставаясь для пользователя незаметным.

Предполагается, что главная цель политически-мотивированных хакеров из Северной Кореи, в том числе Lazarus, — доступ к криптовалютным активам и их кража для преодоления экономических санкций.

Исследователи продолжают наблюдать за активностью злоумышленников, чтобы разработать эффективные методы борьбы с угрозой.