Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакеры из КНДР рапостраняют поддельные приложения через Discord

03/11/23

Discord-hack

В последние недели обострилась активность северокорейских хакеров. Как выяснили специалисты Elastic Security Labs, новая киберугроза связана со сложным вредоносным ПО — KANDYKORN, нацеленным на пользователей macOS в криптовалютной индустрии. Для распространения программы используется мессенджер Discord. Злоумышленники под видом блокчейн-разработчиков предлагают жертвам инструменты, якобы позволяющие извлекать прибыль из арбитражных операций с криптовалютой.

Эксперты связывают последнюю кампанию, которая началась в апреле 2023 года, с действиями известной хакерской группировки Lazarus — методы атак и сетевая инфраструктура очень похожи на их почерк, пишет Securitylab.

Жертву просят загрузить ZIP-архив со встроенным вредоносным кодом. Пользователь верит, что скачивает приложение для криптовалютной торговли, но на самом деле программа нужна, чтобы хакеры могли получить первоначальный доступ к системе.

«Атака реализуется в серии сложных этапов, каждый из которых включает специализированные методы обхода систем защиты», — объясняют в своем отчете исследователи Рикардо Унгуряну, Сет Гудвин и Эндрю Пиз.

В этом году хакеры из группы Lazarus уже атаковали пользователей macOS через зараженные PDF-файлы. Когда жертва открывала документ, на компьютере активировалась скрытая угроза — бэкдор RustBucket, написанный на языке AppleScript. Он, в свою очередь, незаметно подгружал другие вредоносные компоненты с внешнего сервера.

KANDYKORN работает непосредственно в оперативной памяти устройств на базе macOS. Эта программа-шпион способна не только собирать информацию с заражённого компьютера, но и запускать новые вредоносные операции, прерывать работу отдельных приложений и выполнять различные команды злоумышленников по мере необходимости.

Основная сложность атаки заключается в применении цепочки дропперов — промежуточных звеньев, которые облегчают установку основного ПО. Процесс начинается с Python-скрипта watcher.py — он содержится в первоначальном ZIP-архиве и действует как первый дроппер. Затем загружается второй скрипт, testSpeed.py, с облачного хранилища Google Drive. Он открывает путь для скачивания FinderTools, другого компонента, также расположенного на Google Drive.

FinderTools активирует SUGARLOADER — скрытый вспомогательный модуль, который маскируется под системные файлы в директориях /Users/shared/.sld и.log. Этот компонент завершает подготовку системы к заражению и создают благоприятные условия для внедрения основного кода, минуя стандартные антивирусные решения.

Только потом устанавливается связь с удаленным сервером для загрузки KANDYKORN и его выполнения в памяти компьютера.

Чтобы скрыть свою активность, вредоносное ПО использует HLOADER — специально сконструированный файл, написанный на языке программирования Swift. На первый взгляд он не отличается от обычного приложения Discord. Его главная задача — осуществлять захват потока выполнения». Это значит, что HLOADER встраивается в процесс запуска обычных, легитимных программ, оставаясь для пользователя незаметным.

Предполагается, что главная цель политически-мотивированных хакеров из Северной Кореи, в том числе Lazarus, — доступ к криптовалютным активам и их кража для преодоления экономических санкций.

Исследователи продолжают наблюдать за активностью злоумышленников, чтобы разработать эффективные методы борьбы с угрозой.

Темы:криптовалютыУгрозыфальшивые приложенияКНДРDiscord
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...