O notório grupo de hackers norte-coreano Lazarus usou novos malwares para macOS e Windows em ataques recentes, alertam pesquisadores de segurança.
Em um dos ataques, os engenheiros de blockchain de uma plataforma de troca de criptomoedas foram alvo de um aplicativo Python projetado para fornecer acesso inicial, resultando no carregamento de binários na memória.
Como parte do ataque, Lazarus se passou por membros da comunidade blockchain em um canal público do Discord, convencendo a vítima a baixar um arquivo contendo código malicioso.
No final de um processo de vários estágios envolvendo várias técnicas de evasão e carregadores, um novo malware para macOS chamado Kandy Korn foi executado na máquina alvo, permitindo que os invasores acessassem e exfiltrassem dados do sistema.
Uma vez instalado, o malware esperaria que seu servidor de comando e controle (C&C) enviasse comandos que lhe permitissem coletar informações, listar diretórios, listar processos em execução, baixar arquivos, fazer upload de arquivos, arquivar diretórios e exfiltrá-los, apagar arquivos, matar processos, executar comandos usando um terminal, gerar um shell, baixar uma configuração do servidor, dormir e sair.
“KandyKorn é um implante avançado com uma variedade de recursos para monitorar, interagir e evitar detecção. Ele utiliza carregamento reflexivo, uma forma de execução de memória direta que pode ignorar as detecções”, observa Elastic Security, que identificou e analisou a ameaça.
Lazarus também foi observado montando uma série de ataques a várias vítimas que usavam um software de segurança para criptografar comunicações na web, depois que o fornecedor do aplicativo foi comprometido pela exploração de vulnerabilidades conhecidas, mas não corrigidas, em seu ecossistema.
Como parte do ataque, o Lazarus implantou um novo backdoor do Windows chamado Signbt, que é iniciado usando um carregador que opera exclusivamente na memória, Kaspersky explica.
Depois de estabelecer a comunicação C&C, o malware tira impressões digitais do sistema e envia as informações para o servidor. Ele também pesquisa o servidor em busca de comandos a serem executados.
O Signbt fornece aos invasores controle total sobre a máquina da vítima, permitindo-lhes roubar informações e implantar cargas adicionais na memória, incluindo o malware LPEClient e utilitários de despejo de credenciais.
“O ator da ameaça demonstrou um conhecimento profundo dos ambientes de TI, refinando suas táticas para incluir a exploração de vulnerabilidades em softwares de alto perfil. Essa abordagem permite que eles espalhem seu malware de maneira eficiente assim que as infecções iniciais forem alcançadas”, observa Kaspersky.
