Специалисты по информационной безопасности сообщают, что северокорейские хакеры начали использовать новое вредоносное ПО для MacOS, которое называется KandyKorn. Софт используется для атак на платформы обмена криптовалютными активами, сообщает издание IBTimes.
Согласно информации профильной компании по информационной безопасности Elastic Security Labs, хакеры, скорее всего, связанные с известной киберпреступной группировкой из Северной Кореи Lazarus Group, во время своих атак выдают себя за специалистов по блокчейну на сервисе Discord.
Связываясь с пользователями, они используют методы социальной инженерии. Под различными предлогами они убеждают жертв загружать вредоносные ZIP-файлы на свои устройства. При этом пользователи думают, что устанавливают арбитражного бота — специальное программное обеспечение, предназначенное для получения прибыли из-за разницы в курсах криптовалют между различными платформами.
В действительности, как отмечают эксперты из Elastic Security Labs, пользователи на самом деле загружают файл Python, который в итоге активирует и запускает вредоносное ПО.
Специалисты также сообщают, что после установки вредоносного программного обеспечения на устройство, оно начинает загружать и другие файлы с сервера контроля и управления злоумышленников. Среди них в конечном итоге находится вредоносное ПО KandyKorn. Этот вредонос для MacOS представлен в виде трояна для удаленного доступа, который, помимо традиционных киберпреступных функций, может извлекать данные, обрабатывать списки каталогов, безопасно удалять и загружать файлы.
«После установления связи с сервером хакеров KandyKorn ожидает команд от сервера. Это интересная особенность, потому что вредоносное ПО ожидает команды, а не запрашивает их. Это снижает число генерируемых конечных точек и сетевых артефактов и даёт возможность ограничить потенциальное обнаружение», — объяснили исследователи из Elastic.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
