Attraverso la ricerca di Elastic Security Labs è stato possibile individuare una nuova campagna malware che coinvolge i famigerati cybercriminali del gruppo Lazarus.
L’agente malevolo, chiamato Kandykorn, prende di mira le criptovalute. Stando ai dati raccolti dagli esperti, gli hacker nordcoreani hanno preso di mira persone che lavorano nel contesto degli exchange di cripto attraverso Discord.
Qui, hanno attirato le potenziali vittime attraverso un presunto bot capace di facilitare operazioni redditizie di trading. Il bot scaricato si rivela un archivio ZIP, con un file da eseguire denominato Main.py. Questo presenta a sua volta un file dannoso denominato Watcher.py.
L’appena citato file va dunque a connettersi con un account Google Drive, scaricando altri file dannosi, tra cui figura un ulteriore software, chiamato Sugarloader che, seppur non un malware, rappresenta un pericolo per le vittime.
Si tratta, infatti, di un sistema in grado di bypassare i controlli anti-malware e facilitare il successivo download del malware vero e proprio.
Kandykorn offre ampio margine di manovra ai cybercriminali
Con Sugarloader che permette di scaricare Kandykorn, viene avviata l’infezione vera e propria.
Il malware contiene numerose funzioni che possono essere utilizzate dal server remoto per eseguire varie attività dannose. Ad esempio, il comando “0xD3” può essere utilizzato per ottenere l’elenco del contenuto di una cartella sul computer della vittima. Il comando “resp_file_down“, invece, può essere utilizzato per trasferire qualsiasi file della vittima sul computer dell’aggressore.
Elastic ritiene che l’attacco sia cominciato nell’aprile 2023. Afferma che probabilmente il sistema viene ancora utilizzato per eseguire attacchi oggi, affermando “Questa minaccia è ancora attiva e gli strumenti e le tecniche vengono continuamente aggiornate“.
Gli scambi di criptovalute centralizzati e i wallet hanno subito un’ondata di attacchi nel 2023. Tra le piattaforme, loro malgrado, coinvolte in queste campagne figurano nomi noti del settore come Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake e tante altre.