Un nouveau malware baptisé KandyKorn cible le système macOS et les ingénieurs blockchain d’une plateforme d’échange de cryptomonnaies. Cette campagne d’attaque a été attribuée à un groupe de pirates nord-coréens bien connu : Lazarus. Faisons le point sur cette menace.
La société Elastic Security a mis en ligne un rapport au sujet de la menace KandyKorn. Il permet d’en apprendre plus sur le fonctionnement de ce malware.
Pour piéger leurs victimes, les cybercriminels utilisent le serveur Discord de cette communauté. En effet, les pirates se font passer pour des membres de cette communauté Discord pour diffuser des modules basés sur Python dont le but est de déclencher la chaîne d’infection KandyKorn. Nous sommes clairement sur de l’ingénierie sociale.
L’objectif des pirates, c’est que les utilisateurs téléchargent une archive ZIP malveillante nommée « Cross-platform Bridges.zip », censée permettre à l’utilisateur de bénéficier d’un logiciel d’arbitrage. Mais ce n’est pas du tout le cas, au lieu de cela, le script Python contenu dans l’archive et nommé « Main.py » importera 13 modules contenus également dans l’archive ZIP, dont une première charge utile nommée « Watcher.py« .
Ensuite, plusieurs étapes s’enchaînent, notamment le téléchargement de FinderTools depuis Google Drive, qui va lui-même charger Sugarloader par la suite. Sugarloader est utilisé pour établir une connexion avec le serveur C2 des attaquants, mais aussi pour télécharger et exécuter en mémoire le malware KandyKorn.
Le malware KandyKorn va permettre aux cybercriminels d’avoir accès à distance à la machine et ils vont utiliser cet accès pour voler des données. Il prend en charge 16 commandes différentes, où chaque commande correspond à une action différente : terminer un programme, lister le contenu d’un dossier, exfiltrer des données vers le serveur C2, ouvrir un shell interactif, etc….
Par ailleurs, le composant malveillant nommé HLoader est utilisé pour établir la persistance de SugarLoader en compromettant la véritable application Discord installée sur la machine macOS infectée.