Вредоносное ПО «Kandykorn» пытается взломать крипто-биржу

546
ПО

Acryptoinvest.news: Члены Lazarus выдавали себя за инженеров и обманом заставляли сотрудников биржи загружать труднообнаружимые вредоносные программы.

Согласно отчету Elastic Security Labs от 31 октября, Lazarus Group использовала новую форму вредоносного ПО в попытке взломать криптобиржу.

Компания Elastic назвала новое вредоносное ПО «Kandykorn», а программу-загрузчик, которая загружает его в память, «Sugarload», поскольку в названии файла загрузчика имеется новое расширение «.sld». Elastic не назвала биржу, на которую была нацелена атака.

В 2023 году криптовалютные биржи подверглись череде взломов закрытых ключей, большинство из которых были связаны с северокорейским киберпреступным предприятием Lazarus Group.

Acryptoinvest.news — Источник: Лаборатория Elastic Security Labs.

По данным Elastic, атака началась, когда участники Lazarus выдавали себя за инженеров блокчейна и нацелились на инженеров неназванной криптобиржи. Злоумышленники связались с Discord, заявив, что они разработали прибыльного арбитражного бота, который может получать прибыль от расхождений между ценами криптовалют на разных биржах.

Злоумышленники убедили инженеров загрузить этого «бота». Файлы в ZIP-папке программы имели замаскированные имена, такие как «config.py» и «pricetable.py», что делало программу похожей на арбитражного бота.

После того, как инженеры запустили программу, она выполнила файл «Main.py», который запускал некоторые обычные программы, а также вредоносный файл под названием «Watcher.py». Watcher.py установил соединение с удаленной учетной записью Google Диска и начал загружать контент из нее в другой файл с именем testSpeed.py. Затем вредоносная программа один раз запустила testSpeed.py, а затем удалила его, чтобы замести следы.

Во время однократного выполнения testSpeed.py программа загрузила больше контента и в конечном итоге выполнила файл, который Elastic называет «Sugarloader». По словам Elastic, этот файл был замаскирован с помощью «двоичного упаковщика», что позволило ему обойти большинство программ обнаружения вредоносных программ. Однако им удалось обнаружить это, заставив программу остановиться после вызова ее функций инициализации, а затем сделав снимок виртуальной памяти процесса.

По словам компании Elastic, она запустила обнаружение вредоносного ПО VirusTotal на Sugarloader и детектор заявил, что файл не является вредоносным.

Как только Sugarloader был загружен на компьютер, он подключился к удаленному серверу и загрузил Kandykorn прямо в память устройства. Kandykorn содержит множество функций, которые удаленный сервер может использовать для выполнения различных вредоносных действий. Например, команду «0xD3» можно использовать для вывода списка содержимого каталога на компьютере жертвы, а команду «resp_file_down» можно использовать для передачи любого файла жертвы на компьютер злоумышленника.

Elastic полагает, что атака произошла в апреле 2023 года. Он утверждает, что программа, вероятно, все еще используется для проведения атак сегодня, заявляя:

«Эта угроза все еще активна, а инструменты и методы постоянно развиваются».

В 2023 году централизованные криптовалютные биржи и приложения подверглись множеству атак. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake и другие стали жертвами этих атак, большинство из которых, похоже, заключались в краже злоумышленником закрытого ключа с устройства жертвы и используя его для перевода криптовалюты клиентов на адрес злоумышленника.

Федеральное бюро расследований США обвинило Lazarus Group в причастности ко взлому Coinex, а также в проведении атаки Stake и других.

Предыдущая статьяModulus привлекает 6,3 млн для крипто-безопасности ИИ
Следующая статьяKantonalbank запускает услуги хранения и торговли BTC и ETH
Активный трейдер валютного рынка (форекс) с 2016 года. В последствии немного расширил свои интересы криптовалютами и акциями. Интересно все, что связано с финансовым сектором. Буду рад, если читателям сайта, будет полезна представленная мной информация. Всем профита!