El grupo de hackers de Corea del Norte ha distribuido un nuevo tipo de malware a través de un programa de descarga, con la intención de comprometer un exchange de criptomonedas.
Los analistas de Elastic Security Labs, una empresa de ciberseguridad, han descubierto un nuevo tipo de malware que los hackers del Lazarus Group intentaron utilizar para comprometer un exchange de criptomonedas, cuyo nombre no se ha especificado. Los analistas han bautizado al nuevo virus como Kandykorn.
El ataque comenzó cuando los atacantes utilizaron métodos de ingeniería social, estableciendo contacto con los desarrolladores de la plataforma de intercambio a través de Discord. Consiguieron convencer a los representantes del exchange para que probaran la funcionalidad de un nuevo bot de arbitraje rentable que supuestamente habían desarrollado.
Así, los hackers consiguieron convencer al equipo del exchange de criptomonedas para que descargaran un archivo ZIP con ficheros para instalar el programa, que contenía un archivo malicioso además de los típicos ficheros del bot de arbitraje. Tras iniciar el programa, este archivo establecía una conexión con una cuenta remota de Google Drive y permitía a los hackers descargar un downloader específico, que los analistas de Elastic denominaron Sugarloader. Una vez descargado, se eliminaban todos los demás archivos maliciosos.
Sugarloader permite a los hackers eludir la mayoría del software de detección de malware. Los analistas de Elastic afirman que el detector del servicio VirusTotal no identificó Sugarloader como archivo malicioso. El equipo sólo pudo detectarlo deteniendo el programa tras llamar a funciones de inicialización y tomando una instantánea de la memoria virtual del procesador.
Fue Sugarloader lo que permitió a los ciberdelincuentes del grupo Lazarus conectarse a un servidor remoto y descargar Kandykorn directamente en la memoria del dispositivo. El nuevo virus contiene muchas características que dan a los hackers un acceso prácticamente ilimitado al ordenador infectado. Los atacantes pueden descargar sigilosamente archivos de un servidor remoto, así como borrar o sustituir archivos del disco.
Los analistas de Elastic creen que los hackers utilizaron Kandykorn en abril de 2023 y que el malware aún se encuentra en el servidor del exchange de criptomonedas.
Como recordatorio, los ciberdelincuentes vinculados a Corea del Norte robaron alrededor de 3.540 millones de dólares en criptomonedas en los últimos ocho años, estando detrás de uno de cada tres ataques a criptoproyectos. CoinsPaid pudo descubrir cómo Lazarus Group hackeó y blanqueó los activos robados, mientras que el CEO de Match Systems reveló cómo se llevan a cabo las investigaciones de hacking en el espacio Web3.