Se ha descubierto una nueva cepa de malware criptográfico para macOS. Este malware, denominado KandyKorn, se distribuye a través de aplicaciones pirateadas y tiene como objetivo robar criptomonedas de los usuarios.
KandyKorn es único por dos motivos:
Detalles:
KandyKorn se dirige a las versiones 13.6 y superiores de macOS. Las imágenes de disco comprometidas contienen un "activador" y la aplicación blanco. El activador, aparentemente benigno a primera vista, activa la aplicación comprometida después de ingresar la contraseña del usuario.
Los atacantes utilizan versiones pre-comprometidas de la aplicación, manipulando los archivos ejecutables para hacerlos inoperables hasta que el usuario ejecute el activador. Esta táctica garantiza que el usuario active la aplicación comprometida sin saberlo.
Una vez activado, KandyKorn obtiene registros DNS TXT para un dominio malicioso y descifra un script de Python del mismo. El script se ejecuta interminablemente intentando descargar la próxima etapa de la cadena de infección, que también es un script de Python.
El propósito de la siguiente carga es ejecutar comandos arbitrarios recibidos del servidor. Si bien no se recibió ningún ataque durante la investigación y la puerta trasera se actualizaba periódicamente, es evidente que la campaña de malware aún está en desarrollo. El código sugiere que los comandos probablemente sean scripts de Python codificados.
Además de las funcionalidades mencionadas, el script contiene dos características notables relacionadas con el dominio apple-analyzer[.]com. Ambas funciones tienen como objetivo verificar la presencia de aplicaciones de criptobilleteras y reemplazarlas con versiones maliciosas descargadas del dominio especificado. Esta táctica se observó apuntando tanto a las billeteras Bitcoin como Exodus.
Recomendaciones:
Para protegerse de KandyKorn y otras amenazas similares, se recomienda:
Análisis técnico:
KandyKorn es un malware complejo y sofisticado que utiliza una variedad de técnicas para evadir la detección. Las siguientes son algunas de las técnicas más destacadas:
KandyKorn es único por dos motivos:
- Utiliza registros DNS para lanzar su script Python malicioso. Esto hace que sea más difícil de detectar por los sistemas de seguridad.
- No solo roba los monederos digitales, sino que también reemplaza la aplicación de la billetera con una versión infectada. Esto le permite robar la frase secreta que se utiliza para acceder a las criptomonedas almacenadas en las billeteras.
Detalles:
KandyKorn se dirige a las versiones 13.6 y superiores de macOS. Las imágenes de disco comprometidas contienen un "activador" y la aplicación blanco. El activador, aparentemente benigno a primera vista, activa la aplicación comprometida después de ingresar la contraseña del usuario.
Los atacantes utilizan versiones pre-comprometidas de la aplicación, manipulando los archivos ejecutables para hacerlos inoperables hasta que el usuario ejecute el activador. Esta táctica garantiza que el usuario active la aplicación comprometida sin saberlo.
Una vez activado, KandyKorn obtiene registros DNS TXT para un dominio malicioso y descifra un script de Python del mismo. El script se ejecuta interminablemente intentando descargar la próxima etapa de la cadena de infección, que también es un script de Python.
El propósito de la siguiente carga es ejecutar comandos arbitrarios recibidos del servidor. Si bien no se recibió ningún ataque durante la investigación y la puerta trasera se actualizaba periódicamente, es evidente que la campaña de malware aún está en desarrollo. El código sugiere que los comandos probablemente sean scripts de Python codificados.
Además de las funcionalidades mencionadas, el script contiene dos características notables relacionadas con el dominio apple-analyzer[.]com. Ambas funciones tienen como objetivo verificar la presencia de aplicaciones de criptobilleteras y reemplazarlas con versiones maliciosas descargadas del dominio especificado. Esta táctica se observó apuntando tanto a las billeteras Bitcoin como Exodus.
Recomendaciones:
Para protegerse de KandyKorn y otras amenazas similares, se recomienda:
- Descargar aplicaciones de tiendas oficiales, como la Apple App Store.
- Instalar una solución de seguridad confiable y seguir sus recomendaciones.
- Actualizar el sistema operativo y aplicaciones importantes a medida que haya actualizaciones disponibles.
- Asegurar la frase semilla de la billetera.
- Utilizar una contraseña segura.
Análisis técnico:
KandyKorn es un malware complejo y sofisticado que utiliza una variedad de técnicas para evadir la detección. Las siguientes son algunas de las técnicas más destacadas:
- Distribución a través de aplicaciones pirateadas: KandyKorn se distribuye a través de aplicaciones pirateadas que se encuentran en sitios web de terceros. Estas aplicaciones están comprometidas con un script malicioso que se activa cuando el usuario ingresa su contraseña.
- Uso de registros DNS para distribuir el script malicioso: KandyKorn utiliza registros DNS TXT para distribuir su script malicioso. Esto hace que sea más difícil de detectar por los sistemas de seguridad, ya que el tráfico se mezcla con el tráfico normal de DNS.
- Reemplazo de la aplicación de la billetera con una versión infectada: KandyKorn no solo roba los monederos digitales, sino que también reemplaza la aplicación de la billetera con una versión infectada. Esto le permite robar la frase secreta que se utiliza para acceder a las criptomonedas almacenadas en las billeteras.
- Ejecución de comandos arbitrarios: KandyKorn puede ejecutar comandos arbitrarios recibidos del servidor. Esto le permite a los atacantes realizar una variedad de acciones maliciosas, como robar datos, instalar malware adicional o tomar el control remoto del sistema.