Elastic Security Labs, společnost specializující se na kybernetickou bezpečnost, identifikovala nový druh malwaru používaný severokorejskou státem podporovanou kybernetickou skupinou Lazarus, který cílí na blockchain inženýry kryptoměnových burz. Malware známý jako „Kandykorn“ byl navržen tak, aby ovlivnil zařízení macOS. Útok se stal v dubnu 2023, a Elastic věří, že je stále aktivní a neustále se vyvíjí.
Útok zahrnoval zneužívání identit blockchainových inženýrů na Discord serverech. Útočníci přesvědčili oběti, aby stáhly ZIP soubor, který měl obsahovat krypto arbitrážního bota, jenž dle jejich vyjádření je velmi výnosný.
Jakmile byl spuštěn, malware prošel několika fázemi a nakonec infiltroval zařízení obětí různými schopnostmi pro monitorování a interakci. Využíval zákeřné metody ke zvýšení pravděpodobnosti vyhnout se detekci většiny programů na boj s malwarem. „Kandykorn“ je napsán v Pythonu.
Techniky a malware použité v útoku jsou v souladu s předchozími aktivitami skupiny Lazarus. Elastic Security Labs tvrdí na základě analýzy různých faktorů, že se jedná o aktivity skupiny Lazarus.
Centralizované kryptoměnové burzy a aplikace zažily v roce 2023 nárůst útoků, z nichž mnohé zahrnují krádeže soukromých klíčů k peněženkám. Skupina Lazarus byla obviněna z několika těchto útoků, včetně Coinex a Stake.
Tento útok je součástí pokračující snahy Severní Koreje o krádež kryptoměn za účelem “vypořádat se” s mezinárodními sankcemi, které měly hluboký dopad na ekonomiku komunistického režimu. Obtížná situace donutila Severní Koreu k uzavření několika velvyslanectví po celém světě, jak včera informovala agentura Reuters.
Zdroje: Unchained Crypto, Cointelegraph, Thehackernews, Reuters
Přidejte odpověď