Kandykorn : malware macOS en provenance de Corée du Nord

Plusieurs chercheurs en sécurité viennent de faire la découverte d'un nouveau logiciel malveillant qu'ils ont nommé Kandykorn. Il semble venir tout droit de Corée du Nord via une société de cybercriminalité bien connus pour des faits similaires par le passé.

Un nouveau logiciel malveillant macOS

Des chercheurs en sécurité viennent de découvrir une nouvelle tentative de piratage informatique en provenance de Corée du Nord. Une attaque directe auprès de certains ingénieurs blockchain au service d'une plateforme d'échange cryptographique.

Les pirates se font passer pour des membres de la communauté d'ingénierie blockchain via des serveurs Discord. Ils invitent les victimes à télécharger puis décompresser un simple fichier ZIP qui contient malheureusement le fameux malware Kandykorn REF7001. Une méthode appartenant à l'entreprise Lazarus Group, répertoriée comme une société de cybercriminalité nord-coréenne. Certains experts ont d'ailleurs fait des recherches sur cette entité, cf sur le réseau X.

Définition de Kandykorn par les chercheurs d'Elastic Security Labs :

Kandykorn est un implant avancé doté de diverses capacités pour surveiller, interagir et éviter la détection. Il utilise une charge réfléchissante, une forme d'exécution à mémoire directe qui peut contourner les détections.

Voici comment Kandykorn fonctionne étape par étape :

  1. Premier compromis : les acteurs de la menace ciblent les ingénieurs de la blockchain avec l'application Python du bot d'arbitrage camouflé appelée Watcher.py. Ceci est distribué dans un fichier .zip intitulé « Cross-Platform Bridges.zip ».
  2. Connexion réseau : Si la victime installe avec succès le code Python malveillant, une connexion réseau sortante est établie pour les scripts dropper intermédiaires pour télécharger et exécuter Sugerloader.
  3. Charge utile : Le binaire obscurci, Sugarloader, est utilisé pour l'accès initial sur le système macOS et initialise pour l'étape finale.
  4. Persistance : Hloader, qui se déguise en véritable application Discord, se lance maintenant à ses côtés pour établir la persistance de Sugarloader.
  5. Exécution : Kandykorn, capable d'accéder aux données et d'exfiltrer, attend les commandes du serveur C2.

Précision importante, bien que ce malware soit extrêmement dangereux, il n'a pas pour objectif de s'attaquer à toute personne utilisant un Mac sous macOS. Il permet néanmoins de nous rappeler la dangerosité d'internet et l'importance de se protéger et surtout de ne pas oublier les règles principales de sécurité, à commencer par ne jamais télécharger un fichier inconnu.

Pour un surplus de sécurité, n'hésitez pas à regarder des anti-virus comme Intego X9, spécialiste du Mac.

Via

Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

2 Titank - iPhone

02/11/2023 à 16h38 :

@Titank - iPhone

Désoler pour les fautes

1 Titank - iPhone

02/11/2023 à 16h38 :

⚠️ Tellement d’arnaques de tout type sur Discord!..

Faites très attentions sur les fichier que l’on vous envoie et encore plus au liens 🔗 !.. malware espion..