最近发现了一种新的MacOS恶意软件,名为KandyKorn,与臭名昭著的Lazarus集团有关。该恶意软件是由弹性安全实验室发现的。
根据区块链安全公司发布的一份官方报告,KandyKorn依靠社会工程策略,欺骗受害者安装一个名为“跨平台桥梁.ZIP”的恶意ZIP文件
从外表上看,这个ZIP文件似乎是一个套利人工智能(AI)机器人,旨在帮助用户自动产生收益。
同时,在内部,该恶意文件下载了13个基于Python的模块,这些模块协作非法检索用户数据和信息。
Elastic Security Labs提供了这种病毒有效性的背景,指出它是秘密运作的,用户往往不知道幕后发生的事件。
然后,该恶意软件访问受影响计算机的目录列表,自动上传和下载文件,删除、处理终止并执行命令。
为了实现这一点,恶意恶意软件由自称社区版主的黑客在Discord频道上共享。这促进了信任,导致用户下载恶意ZIP文件,该文件随后感染并控制了他们的笔记本电脑。
朝鲜对万圣节非常兴奋,他们在分发糖果方面领先了一步。查看REF7001,又名KANDYKORN——一种分布在Discord加密货币服务器中的恶意软件:https://t.co/ZJ1r92Yhvf#malware#threatdiscovery#加密货币#discord#ElasticSecurityLabs——ElasticSecurity Labs(@elasticseclabs)2023年10月31日
Elastic Security Labs团队对KandyKorn恶意软件对Mac和iOS设备的潜在影响表示担忧,并表示其正在部署的技术不同寻常。
这种技术允许恶意软件通过一个称为执行流劫持的过程持续轰炸目标设备。
根据Elastic Security Labs的报告,KandyKorn现在是Lazarus集团青睐的恶意软件。
在过去几年里,与朝鲜民主主义人民共和国(DPKR)有联系的匿名黑客团体对加密货币领域产生了浓厚的兴趣。
到目前为止,Lazarus集团已经从这个新兴行业窃取了超过10亿美元,并依靠加密货币混合平台获取非法收益。
KandyKorn日益增长的影响力进一步凸显了这些黑客组织现在用来吸走投资者数字资金的复杂工具的不断增长。
然而,KandyKorn并不是庞大的病毒生态系统中的唯一参与者。广受欢迎的Telegram机器人Unibot几天前也被利用了56万美元。
.@TeamUnibot似乎被利用了,利用者从#unibot用户那里转移表情包,现在正在用它们交换$ETH。当前漏洞大小约为56万美元漏洞利用程序地址:https://t.co/ysyTmgUAitpic.twitter.com/MF85Fdk892--Scopescan(