Lazarus utilizó malware “KANDYKORN” para intentar comprometer un exchange

Según un informe del 31 de octubre de Elastic Security Labs, el grupo Lazarus utilizó una nueva forma de malware en un intento de comprometer un exchange de criptomonedas.

Elastic ha nombrado al nuevo malware como “KANDYKORN” y al programa cargador que lo carga en la memoria como “SUGARLOAD”, ya que el archivo cargador tiene una extensión novedosa en su nombre, “.sld”. Elastic no reveló el nombre del exchange que fue el objetivo.

Los exchanges de criptomonedas han sufrido una serie de ataques de robo de claves privadas en 2023, la mayoría de los cuales se han atribuido a la empresa de ciberdelincuentes norcoreana, el Grupo Lazarus.

Proceso de infección KANDYKORN. Fuente: Elastic Security Labs.

Según Elastic, el ataque comenzó cuando miembros de Lazarus se hicieron pasar por ingenieros de blockchain y apuntaron a ingenieros del exchange de criptomonedas no nombrado. Los atacantes se pusieron en contacto a través de Discord, afirmando que habían diseñado un bot de arbitraje rentable que podía obtener ganancias de las discrepancias entre los precios de criptomonedas en diferentes exchanges.

Los atacantes convencieron a los ingenieros para que descargaran este “bot”. Los archivos en la carpeta ZIP del programa tenían nombres disfrazados como “config.py” y “pricetable.py”, que hacían que pareciera un bot de arbitraje.

Una vez que los ingenieros ejecutaron el programa, este ejecutó un archivo “Main.py” que ejecutaba algunos programas normales y un archivo malicioso llamado “Watcher.py”. Watcher.py estableció una conexión con una cuenta remota de Google Drive y comenzó a descargar contenido desde ella a otro archivo llamado testSpeed.py. El programa malicioso luego ejecutó testSpeed.py una sola vez antes de borrarlo para ocultar sus huellas.

Durante la ejecución única de testSpeed.py, el programa descargó más contenido y finalmente ejecutó un archivo que Elastic llama “SUGARLOADER”. Este archivo estaba ofuscado utilizando un “empaquetador binario”, según Elastic, lo que le permitía eludir la mayoría de los programas de detección de malware. Sin embargo, lograron descubrirlo al detener forzosamente el programa después de que se llamaran sus funciones de inicialización y luego tomar una instantánea de la memoria virtual del proceso.

Según Elastic, ejecutaron la detección de malware de VirusTotal en SUGARLOADER, y el detector declaró que el archivo no era malicioso.

Una vez que SUGARLOADER se descargó en la computadora, se conectó a un servidor remoto y descargó KANDYKORN directamente en la memoria del dispositivo. KANDYKORN contiene numerosas funciones que el servidor remoto puede utilizar para llevar a cabo diversas actividades maliciosas. Por ejemplo, el comando “0xD3” se puede utilizar para enumerar el contenido de un directorio en la computadora de la víctima, y “resp_file_down” se puede utilizar para transferir cualquiera de los archivos de la víctima a la computadora del atacante.

Elastic cree que el ataque ocurrió en abril de 2023. Afirmaron que el programa probablemente todavía se está utilizando para realizar ataques en la actualidad, y declararon:

“Esta amenaza sigue activa y las herramientas y técnicas se están desarrollando continuamente.”

Los exchanges de criptomonedas centralizados y las aplicaciones sufrieron una serie de ataques en 2023. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake y otros han sido víctimas de estos ataques, la mayoría de los cuales parecen haber involucrado al atacante robando una clave privada del dispositivo de la víctima y usándola para transferir la criptomoneda de los clientes a la dirección del atacante.

El Buró Federal de Investigación de los Estados Unidos (FBI) ha acusado al Grupo Lazarus de estar detrás del hackeo de Coinex, así como de realizar el ataque a Stake y otros.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.