Le groupe Lazarus a utilisé une nouvelle forme de malware pour tenter de compromettre un échange cryptographique, selon un rapport du 31 octobre d’Elastic Security Labs.
L’élastique a nommé le nouveau malware « Kandykorn » et le programme de chargement qui le charge en mémoire « Sugarload », car le fichier de chargement a une nouvelle extension « .sld » dans son nom. Elastic n’a pas nommé l’échange ciblé.
Les échanges cryptographiques ont subi une série de piratages de clés privées en 2023, dont la plupart ont été attribués à l’entreprise de cybercriminalité nord-coréenne Lazarus Group.
Selon Elastic, l’attaque a commencé lorsque des membres de Lazarus se sont fait passer pour des ingénieurs de la blockchain et ont ciblé les ingénieurs de l’échange cryptographique anonyme. Les attaquants ont pris contact sur Discord, affirmant avoir conçu un robot d’arbitrage rentable qui pourrait profiter des écarts entre les prix des crypto-monnaies sur différentes bourses.
Les attaquants ont convaincu les ingénieurs de télécharger ce « bot ». Les fichiers du dossier ZIP du programme portaient des noms déguisés tels que « config.py » et « pricetable.py » qui donnaient l’impression qu’il s’agissait d’un robot d’arbitrage.
Une fois que les ingénieurs ont exécuté le programme, celui-ci a exécuté un fichier « Main.py » qui exécutait certains programmes ordinaires ainsi qu’un fichier malveillant appelé « Watcher.py ». Watcher.py a établi une connexion à un compte Google Drive distant et a commencé à télécharger du contenu depuis celui-ci vers un autre fichier nommé testSpeed.py. Le programme malveillant a ensuite exécuté testSpeed.py une seule fois avant de le supprimer afin de brouiller les traces.
Lors de l’exécution unique de testSpeed.py, le programme a téléchargé davantage de contenu et a finalement exécuté un fichier qu’Elastic appelle « Sugarloader ». Ce fichier a été masqué à l’aide d’un « packer binaire », a déclaré Elastic, lui permettant de contourner la plupart des programmes de détection de logiciels malveillants. Cependant, ils ont pu le découvrir en forçant l’arrêt du programme après l’appel de ses fonctions d’initialisation, puis en prenant un instantané de la mémoire virtuelle du processus.
Selon Elastic, il a détecté les logiciels malveillants VirusTotal sur Sugarloader et le détecteur a déclaré que le fichier n’était pas malveillant.
En rapport: Attention aux sociétés de cryptographie : le nouveau malware de Lazarus peut désormais contourner la détection
Une fois Sugarloader téléchargé sur l’ordinateur, il s’est connecté à un serveur distant et a téléchargé Kandykorn directement dans la mémoire de l’appareil. Kandykorn contient de nombreuses fonctions qui peuvent être utilisées par le serveur distant pour effectuer diverses activités malveillantes. Par exemple, la commande « 0xD3 » peut être utilisée pour lister le contenu d’un répertoire sur l’ordinateur de la victime, et « resp_file_down » peut être utilisée pour transférer n’importe quel fichier de la victime vers l’ordinateur de l’attaquant.
Elastic estime que l’attaque a eu lieu en avril 2023. Il affirme que le programme est probablement encore utilisé pour effectuer des attaques aujourd’hui, en déclarant :
« Cette menace est toujours active et les outils et techniques sont continuellement développés. »
Les échanges et applications cryptographiques centralisés ont subi une série d’attaques en 2023. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake et d’autres ont été victimes de ces attaques, dont la plupart semblent avoir impliqué le vol d’une clé privée de l’attaquant sur l’appareil de la victime et l’utiliser pour transférer la crypto-monnaie des clients vers l’adresse de l’attaquant.
Le Federal Bureau of Investigation des États-Unis a accusé le groupe Lazarus d’être à l’origine du piratage de Coinex, ainsi que d’avoir mené l’attaque Stake et d’autres.