Madrid, 3 Nov (Portaltic/EP) -.
Una campaña maliciosa asociada al grupo Lazarus está utilizando un malware llamado KandyKorn para infectar los ordenadores Apple de los ingenieros de blockchain de la comunidad de criptodivisas y robarles sus divisas.
KandyKorn es un nuevo malware para macOS descubierto por Elastic Security Labs, que fue engañado para descargar un bot de arbitraje de criptodivisas con la promesa de ganancias financieras a través de ingeniería social en un servidor público de Discord Distribuido en una campaña dirigida a ingenieros de blockchain.
En lugar de estos “bots”, estos ingenieros acaban descargando una aplicación python distribuida como un archivo .zip. Tras ejecutarse, esta aplicación se conecta a un servidor de comando y control e instala una carga útil, creando una aplicación que simula ser Discord.
Según la empresa de ciberseguridad, la aplicación es obra de HLOADER y ha sido identificada mediante técnicas de firma de código binario de macOS vistas anteriormente en las actividades del grupo Lazarus. Sin embargo, Elastic Security Labs ha destacado la nueva función Execution Stream Hijacking del grupo para lograr la persistencia en macOS.
En lo que respecta a las cargas útiles, se trata de KandyKorn, que se produce en la última etapa de esta cadena de ejecución. Con este malware, Lazarus consigue acceder al ordenador de la víctima y extraer datos para robar criptomonedas.
