Kandykorn : malware macOS en provenance de Corée du Nord
- 👨 Alexandre Godard
- Il y a 1 an
- 💬 2 coms
Un nouveau logiciel malveillant macOS
Des chercheurs en sécurité viennent de découvrir une nouvelle tentative de piratage informatique en provenance de Corée du Nord. Une attaque directe auprès de certains ingénieurs blockchain au service d'une plateforme d'échange cryptographique.
Les pirates se font passer pour des membres de la communauté d'ingénierie blockchain via des serveurs Discord. Ils invitent les victimes à télécharger puis décompresser un simple fichier ZIP qui contient malheureusement le fameux malware Kandykorn REF7001. Une méthode appartenant à l'entreprise Lazarus Group, répertoriée comme une société de cybercriminalité nord-coréenne. Certains experts ont d'ailleurs fait des recherches sur cette entité, cf sur le réseau X.
Définition de Kandykorn par les chercheurs d'Elastic Security Labs :
Kandykorn est un implant avancé doté de diverses capacités pour surveiller, interagir et éviter la détection. Il utilise une charge réfléchissante, une forme d'exécution à mémoire directe qui peut contourner les détections.
Voici comment Kandykorn fonctionne étape par étape :
- Premier compromis : les acteurs de la menace ciblent les ingénieurs de la blockchain avec l'application Python du bot d'arbitrage camouflé appelée Watcher.py. Ceci est distribué dans un fichier .zip intitulé « Cross-Platform Bridges.zip ».
- Connexion réseau : Si la victime installe avec succès le code Python malveillant, une connexion réseau sortante est établie pour les scripts dropper intermédiaires pour télécharger et exécuter Sugerloader.
- Charge utile : Le binaire obscurci, Sugarloader, est utilisé pour l'accès initial sur le système macOS et initialise pour l'étape finale.
- Persistance : Hloader, qui se déguise en véritable application Discord, se lance maintenant à ses côtés pour établir la persistance de Sugarloader.
- Exécution : Kandykorn, capable d'accéder aux données et d'exfiltrer, attend les commandes du serveur C2.
Précision importante, bien que ce malware soit extrêmement dangereux, il n'a pas pour objectif de s'attaquer à toute personne utilisant un Mac sous macOS. Il permet néanmoins de nous rappeler la dangerosité d'internet et l'importance de se protéger et surtout de ne pas oublier les règles principales de sécurité, à commencer par ne jamais télécharger un fichier inconnu.
Pour un surplus de sécurité, n'hésitez pas à regarder des anti-virus comme Intego X9, spécialiste du Mac.
Via