Malware para macOS amenaza a la comunidad cripto
Se ha descubierto un nuevo malware en el macOS de Apple, vinculado al colectivo norcoreano; Lazarus Group, que al parecer ha apuntado a ingenieros de blockchain de un exchange de criptomonedas.
El malware de macOS “KandyKorn” es una puerta trasera sigilosa capaz de recuperar datos, listar directorios, cargar/descargar archivos, eliminar de manera segura, terminar procesos y ejecutar comandos, según un análisis realizado por Elastic Security Labs.
MacOS malweare (REF7001) execution flow. Source: elastic.co
El diagrama de flujo anterior explica los pasos que sigue el malware para infectar y tomar el control de las computadoras de los usuarios. Inicialmente, los atacantes propagaron módulos basados en Python a través de canales de Discord, haciéndose pasar por miembros de la comunidad.
Los ataques de ingeniería social engañan a los miembros de la comunidad para que descarguen un archivo ZIP malicioso llamado “Cross-platform Bridges.zip”, que finge ser un bot de arbitraje diseñado para la generación automatizada de ganancias. Sin embargo, el archivo importa 13 módulos maliciosos que trabajan juntos para robar y manipular información. El informe decía:
“Observamos que el actor de amenazas adopta una técnica que no habíamos visto antes en ellos para lograr la persistencia en macOS, conocida como secuestro del flujo de ejecución”.
El sector de las criptomonedas sigue siendo el principal blanco para Lazarus, motivado principalmente por ganancias financieras en lugar de espionaje, que es su otro enfoque operativo principal.
La existencia de KandyKorn pone de manifiesto que macOS se encuentra dentro del alcance de Lazarus, lo que muestra la notable capacidad de este grupo de amenazas para crear malware sofisticado e imperceptible adaptado a las computadoras de Apple.
Un reciente exploit en Unibot, un popular bot de Telegram utilizado para realizar operaciones en el exchange descentralizado; Uniswap, hizo que el precio del token cayera un 40% en una hora.
.@TeamUnibot seems exploited, the exploiter transfers memecooins from #unibot users and is exchanging them for the $ETH right now.
The current exploit size is ~$560K
Exploiter address:https://t.co/ysyTmgUAit pic.twitter.com/MF85Fdk892
— Scopescan ( . ) (@0xScopescan) October 31, 2023
La firma de análisis de blockchain Scopescan alertó a los usuarios de Unibot sobre un hackeo en curso, que más tarde fue confirmado por una fuente oficial:
“Experimentamos un exploit de aprobación de tokens desde nuestro nuevo enrutador y los hemos pausado para contener el problema”.
Unibot se comprometió a compensar a todos los usuarios que perdieron fondos debido al exploit del contrato.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.