Elastic Security Labs ha recentemente svelato un importante sviluppo in ambito di sicurezza informatica. Il tentativo del Lazarus Group di violare un exchange di criptovalute utilizzando una nuova forma di malware nota come "Kandykorn". Insieme a questo malware c'era il programma loader "Sugarload", riconoscibile dalla sua caratteristica estensione ".sld". Sebbene l'exchange specifico preso di mira non sia stato rivelato, la metodologia impiegata dal Lazarus Group solleva notevoli preoccupazioni.
Elastic Security Labs svela le attività del Lazarus Group
Nel 2023, è stata osservata un'impennata di attacchi hacker a chiave privata all'interno degli exchange di criptovalute, principalmente attribuiti al gruppo criminale informatico nordcoreano Lazarus Group. Il modus operandi del Lazarus Group in questo attacco prevedeva di fingersi ingegneri blockchain e interagire con ingegneri associati all'anonimo exchange di criptovalute tramite Discord. Fingendosi collaboratori, hanno offerto un bot di arbitraggio che presumibilmente poteva sfruttare le differenze di prezzo delle criptovalute su vari exchange.
Mascherando i file all'interno della cartella ZIP del programma come "config.py" e "pricetable.py", facendoli assomigliare a un bot di arbitraggio, sono riusciti a convincere gli ingegneri a scaricare quello che sembrava essere un "bot" utile. Una volta eseguito, il programma ha avviato un file "Main.py", che includeva sia programmi innocui che un componente dannoso, "Watcher.py". Watcher.py ha stabilito una connessione con un account Google Drive remoto, scaricando il contenuto in un file denominato "testSpeed.py"
Dopo un'esecuzione una tantum, testSpeed.py ha scaricato contenuti aggiuntivi ed eseguito un file chiamato "Sugarloader". Il file malevolo Sugarloader era mascherato tramite un "binary packer", che gli consentiva di eludere la maggior parte dei sistemi di rilevamento malware. Elastic lo hadentinterrompendo il programma dopo l'avvio delle funzioni di inizializzazione e creando uno snapshot della memoria virtuale del processo. Nonostante fosse stato etichettato come non malevolo dal rilevamento malware di VirusTotal, Sugarloader è riuscito a scaricare Kandykorn sul sistema connettendosi a un server remoto.
Crescenti sfide per la sicurezza informatica nel settore delle criptovalute nel 2023
Kandykorn, residente nella memoria del dispositivo, vanta diverse funzionalità che consentono al server remoto di eseguire attività dannose. Ad esempio, comandi come "0xD3" potrebbero elencare il contenuto della directory del computer di una vittima, mentre "resp_file_down" potrebbe trasferire i file della vittima al sistema dell'aggressore. Elastic ha ipotizzato che l'attacco sia probabilmente avvenuto nell'aprile 2023, il che indica una minaccia in corso, con un continuo sviluppo di strumenti e tecniche per scopi dannosi.
Questo sviluppo è in linea con la tendenza prevalente osservata nel 2023, in cui gli exchange e le app di criptovalute centralizzati hanno subito molteplici attacchi. Alphapo, CoinsPaid, Atomic Wallet, Coinex e Stake sono stati tra gli obiettivi, con attacchi che hanno comportato il furto di chiavi private dai dispositivi delle vittime, consentendo il trasferimento delle criptovalute dei clienti agli indirizzi degli aggressori. Le autorità, tra cui l'FBI (Federal Bureau of Investigation) degli Stati Uniti, hanno collegato diversi di questi attacchi al gruppo Lazarus.
Incidenti come l'attacco hacker a Coinex e l'attacco a Stake sono stati associati a questa organizzazione criminale informatica. L'emergere di Kandykorn e del suo loader associato, Sugarload, nel contesto delle attività del Gruppo Lazarus pone un notevole problema di sicurezza nel dent delle criptovalute . La natura persistente di queste minacce richiede una maggiore vigilanza e continui miglioramenti delle misure di sicurezza per contrastare tali attività malevole.
