Эксперты Elastic Security Labs сообщают, что северокорейская хакерская группировка Lazarus Group проводит кибератаки на инженеров, работающих с блокчейном через устройства на macOS.
Киберпреступники выдавали себя за членов сообщества разработчиков блокчейнов в общедоступном канале Discord. Затем они использовали методы социальной инженерии, чтобы убедить своих жертв загрузить и распаковать ZIP-архив с готовым приложением Python, содержащим вредоносный код.
Кибератака включала в себя запуск приложения Python, которое жертвы считали арбитражным торговым ботом. В реальности старт приложения Python приводил к выполнению многоходового потока вирусного ПО, кульминацией которого стало развертывание вредоносного протокола Kandykorn.
Эксперты подчеркивают, что именно Kandykorn является заключительным этапом цепочки выполнения кибератаки, поскольку обладает полнофункциональным набором возможностей для обнаружения, доступа и кражи любых данных с компьютера жертвы, включая криптосервисы и приложения.
Процессы Kandykorn налаживают связь с хакерским сервером, разветвляются и запускаются в фоновом режиме. При этом вредоносное приложение не опрашивает устройство и установленные программы, а ожидает прямых команд киберпреступников. Это позволяет ограничить возможность обнаружения.
Эксперты Elastic Security Labs уверены, что анализ сетевой инфраструктуры и используемые методы проникновения демонстрируют причастность к кибератаке именно популярной северокорейской группировки хакеров Lazarus.
источник
уникальность
