Bitcoin Addict - ข่าวสารและบทความคริปโต

Lazarus ใช้มัลแวร์ 'Kandykorn' เพื่อพยายามโจมตีเว็บเทรด Crypto
01 November 2023ข่าวโดย Rawiwarn Owattasanee

Lazarus ใช้มัลแวร์ 'Kandykorn' เพื่อพยายามโจมตีเว็บเทรด Crypto

Lazarus Group ใช้มัลแวร์รูปแบบใหม่ในความพยายามที่จะโจมตีเว็บเทรด crypto ตามรายงานเมื่อวันที่ 31 ตุลาคมจาก Elastic Security Labs

Elastic ได้ตั้งชื่อมัลแวร์ตัวใหม่ว่า “Kandykorn” และโปรแกรมโหลดเดอร์ที่โหลดมันลงในหน่วยความจำว่า “Sugarload” เนื่องจากไฟล์โหลดเดอร์มีนามสกุลใหม่ “.sld” ซึ่งทาง Elastic ไม่ได้เปิดเผยชื่อเว็บเทรดที่เป็นเป้าหมายของการโจมตี

เว็บเทรด Crypto หลายแห่งประสบปัญหาการแฮ็ก private-key ในปี 2023 ซึ่งส่วนใหญ่มาจาก Lazarus Group ซึ่งเป็นองค์กรอาชญากรรมไซเบอร์ของเกาหลีเหนือ

ที่มา: Elastic Security Labs

การโจมตีจะเริ่มต้นขึ้นเมื่อสมาชิกของ Lazarus สวมรอยเป็นวิศวกรบล็อคเชน เพื่อหลอกล่อวิศวกรของเว็บเทรด crypto เป้าหมาย โดยผู้โจมตีจะติดต่อมาทาง Discord โดยอ้างว่าพวกเขาได้ออกแบบบอทเก็งกำไรที่สามารถทำกำไรได้ ซึ่งสามารถทำกำไรจากความคลาดเคลื่อนระหว่างราคาของสกุลเงินดิจิทัลในเว็บเทรดต่าง ๆ

ผู้โจมตีจะโน้มน้าวให้ดาวน์โหลด “บอท” นี้ ซึ่งไฟล์ในโฟลเดอร์ ZIP ของโปรแกรมจะมีชื่อปลอม เช่น “config.py” และ “pricetable.py” ซึ่งทำให้ดูเหมือนเป็นบอทเก็งกำไร

เมื่อวิศวกรรันโปรแกรม มันก็จะรันไฟล์ “Main.py” ที่ใช้รันโปรแกรมทั่วไปบางโปรแกรม รวมถึงไฟล์อันตรายที่เรียกว่า “Watcher.py” ที่จะสร้างการเชื่อมต่อกับบัญชี Google Drive ระยะไกล และเริ่มดาวน์โหลดเนื้อหาจากบัญชีนั้นไปยังไฟล์อื่นชื่อ testSpeed.py จากนั้นก็จะรัน testSpeed.py หนึ่งครั้งก่อนที่จะลบออกเพื่อปกปิดร่องรอยของมัน

ในระหว่างการรัน testSpeed.py เพียงครั้งเดียว โปรแกรมจะดาวน์โหลดเนื้อหาเพิ่มเติมและดำเนินการไฟล์ที่ Elastic เรียกว่า “Sugarloader” ที่ใช้ “binary packer” เพื่อทำให้สามารถข้ามโปรแกรมตรวจจับมัลแวร์ส่วนใหญ่ได้ อย่างไรก็ตาม พวกเขาสามารถค้นพบมันได้โดยการบังคับให้โปรแกรมหยุดทำงานหลังจากเรียกใช้ฟังก์ชันการเริ่มต้น จากนั้นจึงบันทึกภาพรวมของหน่วยความจำเสมือนของกระบวนการ

จากข้อมูลของ Elastic นั้น ได้ทำการตรวจจับมัลแวร์ VirusTotal บน Sugarloader และตัวตรวจจับก็พบว่าไฟล์นั้นไม่เป็นอันตราย

เมื่อดาวน์โหลด Sugarloader ลงในคอมพิวเตอร์แล้ว มันจะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลและดาวน์โหลด Kandykorn ลงในหน่วยความจำของอุปกรณ์โดยตรง โดย Kandykorn มีฟังก์ชันมากมายที่เซิร์ฟเวอร์ระยะไกลสามารถใช้เพื่อทำกิจกรรมที่เป็นอันตรายต่าง ๆ ตัวอย่างเช่น คำสั่ง “0xD3” ที่ใช้แสดงรายการเนื้อหาของไดเร็กทอรีบนคอมพิวเตอร์ของเหยื่อ และ “resp_file_down” ที่ใช้เพื่อถ่ายโอนไฟล์ใด ๆ ของเหยื่อไปยังคอมพิวเตอร์ของผู้โจมตี

Elastic เชื่อว่าการโจมตีเกิดขึ้นในเดือนเมษายน 2023 โดยอ้างว่าโปรแกรมยังคงถูกใช้เพื่อทำการโจมตีในปัจจุบัน โดยระบุว่า:

“ภัยคุกคามนี้ยังคงทำงานอยู่ และเครื่องมือและเทคนิคก็ยังได้รับการพัฒนาอย่างต่อเนื่อง”

อ้างอิง : cointelegraph.com
ภาพ bleepingcomputer.com