Malware KandyKorn macOS 2023
Un nouveau malware baptisé KandyKorn cible le système macOS et les ingénieurs blockchain d’une plateforme d’échange de cryptomonnaies. Cette campagne d’attaque a été attribuée à un groupe de pirates nord-coréens bien connu : Lazarus. Faisons le point sur cette menace.
La société Elastic Security a mis en ligne un rapport au sujet de la menace KandyKorn. Il permet d’en apprendre plus sur le fonctionnement de ce malware.
Pour piéger leurs victimes, les cybercriminels utilisent le serveur Discord de cette communauté. En effet, les pirates se font passer pour des membres de cette communauté Discord pour diffuser des modules basés sur Python dont le but est de déclencher la chaîne d’infection KandyKorn. Nous sommes clairement sur de l’ingénierie sociale.
L’objectif des pirates, c’est que les utilisateurs téléchargent une archive ZIP malveillante nommée « Cross-platform Bridges.zip », censée permettre à l’utilisateur de bénéficier d’un logiciel d’arbitrage. Mais ce n’est pas du tout le cas, au lieu de cela, le script Python contenu dans l’archive et nommé « Main.py » importera 13 modules contenus également dans l’archive ZIP, dont une première charge utile nommée « Watcher.py« .
Ensuite, plusieurs étapes s’enchaînent, notamment le téléchargement de FinderTools depuis Google Drive, qui va lui-même charger Sugarloader par la suite. Sugarloader est utilisé pour établir une connexion avec le serveur C2 des attaquants, mais aussi pour télécharger et exécuter en mémoire le malware KandyKorn.
Le malware KandyKorn va permettre aux cybercriminels d’avoir accès à distance à la machine et ils vont utiliser cet accès pour voler des données. Il prend en charge 16 commandes différentes, où chaque commande correspond à une action différente : terminer un programme, lister le contenu d’un dossier, exfiltrer des données vers le serveur C2, ouvrir un shell interactif, etc….
Par ailleurs, le composant malveillant nommé HLoader est utilisé pour établir la persistance de SugarLoader en compromettant la véritable application Discord installée sur la machine macOS infectée.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.