15/11/2024

Actu CybersécuritéNon classé

Avec son malware KandyKorn, le groupe Lazarus cible macOS et le secteur des cryptomonnaies

Un nouveau malware baptisé KandyKorn cible le système macOS et les ingénieurs blockchain d'une plateforme d'échange de cryptomonnaies. Cette campagne d'attaque a été attribuée à un groupe de pirates nord-coréens bien connu : Lazarus. Faisons le point sur cette menace.

La société Elastic Security a mis en ligne un rapport au sujet de la menace KandyKorn. Il permet d'en apprendre plus sur le fonctionnement de ce malware.

Pour piéger leurs victimes, les cybercriminels utilisent le serveur Discord de cette communauté. En effet, les pirates se font passer pour des membres de cette communauté Discord pour diffuser des modules basés sur Python dont le but est de déclencher la chaîne d'infection KandyKorn. Nous sommes clairement sur de l'ingénierie sociale.

L'objectif des pirates, c'est que les utilisateurs téléchargent une archive ZIP malveillante nommée "Cross-platform Bridges.zip", censée permettre à l'utilisateur de bénéficier d'un logiciel d'arbitrage. Mais ce n'est pas du tout le cas, au lieu de cela, le script Python contenu dans l'archive et nommé "Main.py" importera 13 modules contenus également dans l'archive ZIP, dont une première charge utile nommée "Watcher.py".

Ensuite, plusieurs étapes s'enchaînent, notamment le téléchargement de FinderTools depuis Google Drive, qui va lui-même charger Sugarloader par la suite. Sugarloader est utilisé pour établir une connexion avec le serveur C2 des attaquants, mais aussi pour télécharger et exécuter en mémoire le malware KandyKorn.

Le malware KandyKorn va permettre aux cybercriminels d'avoir accès à distance à la machine et ils vont utiliser cet accès pour voler des données. Il prend en charge 16 commandes différentes, où chaque commande correspond à une action différente : terminer un programme, lister le contenu d'un dossier, exfiltrer des données vers le serveur C2, ouvrir un shell interactif, etc....

Par ailleurs, le composant malveillant nommé HLoader est utilisé pour établir la persistance de SugarLoader en compromettant la véritable application Discord installée sur la machine macOS infectée.

Pourquoi cette campagne d'attaque est-elle attribuée au groupe Lazarus ?

KandyKorn est un logiciel malveillant sophistiqué mis au point par le groupe Lazarus et qui infecte les machines Apple tout en restant discret. Preuve que le groupe Lazarus peut créer des souches malveillantes pour les différents OS.

La société Elastic Security a attribué les attaques à Lazarus en se basant sur les informations issues de campagnes antérieures. Ici, plusieurs techniques et éléments sont identiques, notamment l'infrastructure du réseau, les certificats de signature de code et les règles de détection personnalisées de Lazarus.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.