تم مؤخرًا التعرف على برنامج ضار جديد لنظام MacOS، يُعرف باسم KandyKorn ويرتبط بمجموعة Lazarus سيئة السمعة. تم اكتشاف البرامج الضارة بواسطة Elastic Security Labs.
وفقًا لتقرير رسمي نشرته شركة أمان blockchain، يعتمد KandyKorn على أساليب الهندسة الاجتماعية، حيث يخدع الضحايا لتثبيت ملف ZIP ضار يسمى “Cross-platform Bridges.zip”.
من الخارج، يبدو ملف ZIP هذا وكأنه روبوت ذكاء اصطناعي للمراجحة (AI) مصمم لمساعدة المستخدمين في توليد العائد تلقائيًا.
وفي الوقت نفسه، يقوم الملف الخبيث من الداخل بتنزيل 13 وحدة تعتمد على لغة Python والتي تتعاون لاسترداد بيانات المستخدم ومعلوماته بطريقة غير مشروعة.
من خلال تقديم سياق حول مدى كفاءة هذا الفيروس، أشارت Elastic Security Labs إلى أنه يعمل سرًا، وغالبًا ما لا يكون المستخدمون على علم بالأحداث التي تجري خلف الكواليس.
تقوم هذه البرامج الضارة بعد ذلك بالوصول إلى قائمة دليل الكمبيوتر المتأثر، وتحميل الملفات وتنزيلها تلقائيًا، وحذفها، وإنهاء معالجتها، وتنفيذ الأوامر.
ولتحقيق ذلك، تتم مشاركة البرامج الضارة على قنوات Discord بواسطة المتسللين الذين يقدمون أنفسهم كمشرفين على المجتمع. وهذا يعزز الثقة، مما يدفع المستخدمين إلى تنزيل ملف ZIP الخبيث، والذي يصيب أجهزة الكمبيوتر المحمولة الخاصة بهم ويسيطر عليها.
كانت جمهورية كوريا الشعبية الديمقراطية متحمسة للغاية بشأن عيد الهالوين، لدرجة أنها بدأت بتوزيع الحلوى. تحقق من REF7001، AKA KANDYKORN – برنامج ضار تم توزيعه في خوادم العملات المشفرة على Discord: https://t.co/ZJ1r92Yhvf#البرامج الضارة #اكتشاف_التهديدات #عملة مشفرة #خلاف #مختبرات_الأمن_المرن
— مختبرات الأمان المرنة (@elasticseclabs) 31 أكتوبر 2023
معربًا عن قلقه بشأن التأثير المحتمل لبرمجيات KandyKorn الضارة على أجهزة Mac وiOS، ذكر فريق Elastic Security Labs أن التقنية التي ينشرها غير عادية.
تسمح هذه التقنية للبرامج الضارة بقصف الجهاز المستهدف باستمرار من خلال عملية تسمى اختطاف تدفق التنفيذ.
أصبح KandyKorn الآن برنامجًا ضارًا مفضلاً لدى مجموعة Lazarus Group، وفقًا لتقرير صادر عن Elastic Security Labs.
أبدت المجموعة المجهولة من المتسللين المرتبطين بجمهورية كوريا الشمالية الشعبية الديمقراطية (DPKR) اهتمامًا قويًا بمجال العملات المشفرة في العامين الماضيين.
حتى الآن، سرقت مجموعة Lazarus أكثر من مليار دولار من الصناعة الناشئة واعتمدت على منصات خلط العملات المشفرة لجني مكاسبها غير المشروعة.
يسلط الحضور المتزايد لشركة KandyKorn الضوء على المستوى المتزايد من الأدوات المتطورة التي تعتمد عليها مجموعات القرصنة الآن لسحب الأموال الرقمية للمستثمرين.
ومع ذلك، لم يكن KandyKorn هو الفاعل الوحيد في نظام بيئي واسع من الفيروسات. كما تم استغلال روبوت Telegram الشهير، Unibot، بما يزيد عن 560 ألف دولار قبل بضعة أيام.
.@TeamUnibot يبدو مستغلًا، يقوم المستغل بنقل memecoins من #unibot المستخدمين ويتم استبدالهم بـ $ إيثريوم الآن.
حجم الاستغلال الحالي هو ~ 560 ألف دولار
عنوان المستغل:https://t.co/ysyTmgUAit pic.twitter.com/MF85Fdk892
— سكوبيسكان (🪬 . 🪬) (@0xScopescan) 31 أكتوبر 2023
وفقًا لتغريدة من Scopescan على X (Twitter سابقًا)، قام المستغل بتداول عملات meme منتظمة من مستخدمي Unibot مقابل رمز Ether.
إرهاب القرصنة الذي ترعاه الدولة
في الأشهر الأخيرة، كان الاهتمام العالمي منصبًا بقوة على قطاع العملات المشفرة. ويدور الاهتمام الرئيسي حول السهولة التي يمكن بها لمجموعات معينة استخدام أدوات متقدمة لنقل الأموال بشكل غير مشروع مع القليل من الكشف عنها.
بينما تعمل مجموعات القرصنة المختلفة في هذا المشهد، اكتسبت مجموعة Lazarus سمعة سيئة باعتبارها واحدة من أبرز مجموعات التهديد السيبراني التي ترعاها الدولة في مجال العملات المشفرة.
ومع ذلك، فإن أنشطتهم تمتد إلى ما هو أبعد من مجال العملات المشفرة، حيث حولوا اهتمامهم مؤخرًا إلى شركات البرمجيات.
في #TheSAS2023، كشف خبراؤنا عن حملة APT متطورة من قبل #لعازر مجموعة.
تستهدف هذه الحملة المؤسسات في جميع أنحاء العالم من خلال برامج شرعية مصممة لتشفير اتصالات الويب باستخدام الشهادات الرقمية.
اقرأ تقريرنا الكامل ⇒ https://t.co/zQ9okvUxyc pic.twitter.com/QtxkZprj7b
— كاسبيرسكي (@ كاسبيرسكي) 27 أكتوبر 2023
كشف فريق Kaspersky مؤخرًا عن سلسلة من الهجمات الإلكترونية التي شنتها مجموعة Lazarus Group. وفقًا لأحد التقارير، أنشأت مجموعة التهديد السيبراني برنامجًا شرعيًا مصممًا لتشفير اتصالات الويب باستخدام التوقيعات الرقمية من شبكات الكمبيوتر الخاصة بالمؤسسات.
وهذا يتيح لهم استرداد البيانات واختراق جدران الحماية وتحميل أو تنزيل الملفات والأنظمة المطلوبة.