Elastic Security Labs a récemment révélé une faille de sécurité majeure. Le groupe Lazarus a tenté de pirater une plateforme d'échange de cryptomonnaies à l'aide d'un nouveau type de logiciel malveillant appelé « Kandykorn ». Ce logiciel malveillant était accompagné du programme de chargement « Sugarload », reconnaissable à son extension « .sld ». Bien que la plateforme ciblée n'ait pas été divulguée, la méthode employée par le groupe Lazarus est très préoccupante.
Elastic Security Labs dévoile les activités de Lazarus Group
En 2023, une recrudescence des piratages de clés privées sur les plateformes d'échange de cryptomonnaies, principalement attribuée au groupe cybercriminel nord-coréen Lazarus, a été observée. Le mode opératoire de Lazarus consistait à se faire passer pour des ingénieurs blockchain et à entrer en contact avec des ingénieurs associés à la plateforme d'échange de cryptomonnaies non identifiée via Discord. Se faisant passer pour des collaborateurs, ils proposaient un bot d'arbitrage censé exploiter les écarts de prix des cryptomonnaies entre différentes plateformes.
En dissimulant les fichiers du dossier ZIP du programme sous les noms « config.py » et « pricetable.py », imitant ainsi un robot d'arbitrage, ils ont réussi à convaincre les ingénieurs de télécharger ce qui semblait être un robot utile. À l'exécution, le programme lançait un fichier « Main.py » contenant à la fois des programmes inoffensifs et un composant malveillant, « Watcher.py ». Ce dernier établissait une connexion avec un compte Google Drive distant et téléchargeait du contenu dans un fichier nommé « testSpeed.py »
Après une première exécution, testSpeed.py a téléchargé du contenu supplémentaire et exécuté un fichier nommé « Sugarloader ». Ce fichier malveillant était dissimulé à l'aide d'un « binary packer », ce qui lui permettait d'échapper à la plupart des systèmes de détection de logiciels malveillants. Elastic l'adenten interrompant le programme après le démarrage des fonctions d'initialisation et en effectuant une capture instantanée de la mémoire virtuelle du processus. Bien qu'étiqueté comme non malveillant par VirusTotal, Sugarloader a réussi à télécharger Kandykorn sur le système lors de la connexion à un serveur distant.
Défis croissants en matière de cybersécurité dans le secteur des cryptomonnaies en 2023
Kandykorn, installé dans la mémoire de l'appareil, possède diverses fonctionnalités permettant au serveur distant d'exécuter des activités malveillantes. Par exemple, des commandes comme « 0xD3 » peuvent afficher le contenu du répertoire de l'ordinateur de la victime, et « resp_file_down » peut transférer les fichiers de la victime vers le système de l'attaquant. Elastic suggère que l'attaque a probablement eu lieu en avril 2023, ce qui témoigne d'une menace persistante et du développement continu d'outils et de techniques malveillantes.
Cette évolution s'inscrit dans la tendance générale observée en 2023, où les plateformes et applications d'échange de cryptomonnaies centralisées ont subi de multiples attaques. Alphapo, CoinsPaid, Atomic Wallet, Coinex et Stake figuraient parmi les cibles. Les attaques consistaient à voler les clés privées des appareils des victimes, permettant ainsi le transfert des cryptomonnaies des clients vers les adresses des attaquants. Les autorités, notamment le FBI, ont établi un lien entre plusieurs de ces attaques et le groupe Lazarus.
Des dent tels que le piratage de Coinex et l'attaque de Stake ont été associés à cette entité cybercriminelle. L'apparition de Kandykorn et de son chargeur associé, Sugarload, dans le contexte des activités du groupe Lazarus, représente une préoccupation majeure en matière de sécurité dans le des cryptomonnaies . La persistance de ces menaces exige une vigilance accrue et une amélioration continue des mesures de sécurité afin de contrer ces activités malveillantes.
