El Grupo Lazarus implementa el malware 'Kandykorn' en un exchange

Elastic Security Labs reveló un importante avance en ciberseguridad. El Grupo Lazarus intentó infiltrarse en una plataforma de intercambio de criptomonedas utilizando un nuevo tipo de malware conocido como "Kandykorn". Este malware iba acompañado del programa cargador "Sugarload", reconocible por su distintiva extensión ".sld". Si bien no se reveló la plataforma específica atacada, la metodología empleada por el Grupo Lazarus genera gran preocupación.

Elastic Security Labs presenta las actividades de Lazarus Group

En 2023, se observó un aumento en los ataques de claves privadas en plataformas de intercambio de criptomonedas, principalmente atribuidos al grupo norcoreano de ciberdelincuencia Lazarus Group. El modus operandi de Lazarus Group en este ataque consistió en hacerse pasar por ingenieros de blockchain e interactuar con ingenieros asociados a la plataforma de intercambio de criptomonedas anónima a través de Discord. Haciéndose pasar por colaboradores, ofrecieron un bot de arbitraje que supuestamente podía explotar las diferencias de precio de las criptomonedas en varias plataformas.

Al camuflar los archivos dentro de la carpeta ZIP del programa como "config.py" y "pricetable.py", simulando un bot de arbitraje, convencieron a los ingenieros para que descargaran lo que parecía ser un "bot" beneficioso. Al ejecutarse, el programa creó un archivo "Main.py", que incluía programas inofensivos y un componente malicioso, "Watcher.py". Watcher.py estableció una conexión con una cuenta remota de Google Drive y descargó contenido en un archivo llamado "testSpeed.py"

Tras una única ejecución, testSpeed.py descargó contenido adicional y ejecutó un archivo llamado "Sugarloader". Este archivo malicioso se ocultó mediante un "compresor binario", lo que le permitió evadir la mayoría de los sistemas de detección de malware. Elastic lodentinterrumpiendo el programa tras el inicio de las funciones de inicialización y tomando una instantánea de la memoria virtual del proceso. A pesar de estar etiquetado como no malicioso por la detección de malware de VirusTotal, Sugarloader logró descargar Kandykorn en el sistema al conectarse a un servidor remoto.

Los crecientes desafíos de ciberseguridad en el sector de las criptomonedas en 2023

Kandykorn, que reside en la memoria del dispositivo, cuenta con diversas funcionalidades que permiten al servidor remoto ejecutar actividades maliciosas. Por ejemplo, comandos como "0xD3" podrían listar el contenido del directorio del equipo de la víctima, y ​​"resp_file_down" podría transferir los archivos de la víctima al sistema del atacante. Elastic sugirió que el ataque probablemente ocurrió en abril de 2023, lo que indica una amenaza continua con el desarrollo continuo de herramientas y técnicas para fines maliciosos.

Este desarrollo coincide con la tendencia predominante observada en 2023, donde las plataformas y aplicaciones de intercambio de criptomonedas centralizadas sufrieron múltiples ataques. Alphapo, CoinsPaid, Atomic Wallet, Coinex y Stake se encontraban entre los objetivos, con ataques que implicaban el robo de claves privadas de los dispositivos de las víctimas, lo que permitía la transferencia de las criptomonedas de los clientes a las direcciones de los atacantes. Las autoridades, incluida la Oficina Federal de Investigaciones de Estados Unidos, vincularon varios de estos ataques al Grupo Lazarus.

Incidentesdentcomo el hackeo de Coinex y el ataque a Stake estuvieron asociados con esta entidad de ciberdelincuencia. La aparición de Kandykorn y su cargador asociado, Sugarload, en el contexto de las actividades del Grupo Lazarus, representa una importante preocupación de seguridad en el de las criptomonedas . La persistencia de estas amenazas exige una mayor vigilancia y mejoras continuas en las medidas de seguridad para contrarrestar estas actividades maliciosas.