16 de septiembre de 2024Ravie Lakshmanan Seguridad financiera/malware
Los investigadores de ciberseguridad continúan advirtiendo que los actores de amenazas norcoreanos se dirigen a víctimas potenciales en LinkedIn para distribuir malware llamado “RustDoor”.
El último aviso proviene de Jamf Threat Labs, que afirma ser un reclutador para un intercambio de criptomonedas descentralizado (DEX) legítimo llamado STON.fi y está tratando de llegar a los usuarios en una red social profesional. Dijo que había descubierto un intento de ataque. .
Esta actividad cibernética maliciosa es parte de una campaña múltiple de actores de amenazas cibernéticas respaldados por la República Popular Democrática de Corea (RPDC) para infiltrarse en redes de interés con el pretexto de entrevistas y trabajos de codificación.
Los sectores financiero y de criptomonedas se encuentran entre los principales objetivos de los adversarios respaldados por el Estado que buscan generar ganancias ilícitas y lograr un conjunto de objetivos en constante cambio basados en los intereses del régimen.
Estos ataques se dirigen a empleados de finanzas descentralizadas (“DeFi”), criptomonedas y negocios similares, y son “altamente personalizados y difíciles de detectar”, como señaló recientemente la Oficina Federal de Investigaciones (FBI) de EE. UU. en un aviso. forma de una difícil campaña de ingeniería social.
Una señal notable de la actividad de ingeniería social de Corea del Norte es solicitar ejecutar código o descargar una aplicación en un dispositivo propiedad de la empresa o en un dispositivo que tenga acceso a la red interna de una empresa.
Otro aspecto que vale la pena mencionar es que dichos ataques incluyen “pruebas previas a la contratación” o ejercicios de depuración que implican la ejecución de paquetes Node.js, paquetes PyPI, scripts o repositorios de GitHub no estándar o desconocidos. También incluyen “requisitos de implementación”.
Los incidentes relacionados con estas tácticas han sido ampliamente documentados en las últimas semanas, lo que pone de relieve la continua evolución de las herramientas utilizadas en estas campañas contra objetivos.
En la última cadena de ataque detectada por Jamf, como parte del llamado desafío de codificación, se engaña a las víctimas para que descarguen un proyecto de Visual Studio engañado y luego se les incorporan comandos bash que tienen una funcionalidad idéntica. Descarga dos cargas útiles diferentes de segunda etapa ('VisualStudioHelper). ' y 'zsh_env').
Este malware de segunda etapa es RustDoor, que la empresa rastrea como Thiefbucket. Al momento de escribir este artículo, ningún motor antimalware ha marcado los archivos de prueba de codificación comprimidos como maliciosos. Este archivo fue subido a la plataforma VirusTotal el 7 de agosto de 2024.
“Los archivos de configuración incrustados en dos muestras de malware separadas indican que VisualStudioHelper persiste a través de cron y zsh_env persiste a través del archivo zshrc”, dijeron los investigadores Jaron Bradley y Ferdous Saljooki.
Bitdefender documentó por primera vez la puerta trasera de macOS RustDoor en febrero de 2024 en relación con una campaña de malware dirigida a empresas de cifrado. Un análisis posterior realizado por S2W descubrió una variante del lenguaje Go llamada GateDoor que estaba destinada a infectar máquinas con Windows.
Los hallazgos de Jamf son significativos no solo porque es la primera vez que este malware se identifica formalmente como obra de un actor de amenazas norcoreano, sino también porque está escrito en Objective-C.
VisualStudioHelper está diseñado para actuar como un ladrón de información al recopilar archivos especificados en la configuración, pero para evitar sospechas, parece como si fueran enviados desde la aplicación Visual Studio y solicita al usuario que ingrese la contraseña del sistema. Recopilamos información solo después de que usted. solicitarlo.
Sin embargo, ambas cargas útiles actúan como puertas traseras y utilizan dos servidores diferentes para las comunicaciones de comando y control (C2).
“Los actores de amenazas permanecen atentos a la búsqueda de nuevas formas de atacar a aquellos en la industria de la criptografía”, dijeron los investigadores. “Es importante educar a sus empleados, incluidos los desarrolladores, para que no confíen en nadie que se conecte en las redes sociales y solicite a los usuarios que ejecuten cualquier tipo de software”.
“Estos esquemas de ingeniería social llevados a cabo por Corea del Norte son llevados a cabo por personas que están familiarizadas con el idioma inglés y que han investigado bien a sus objetivos antes de unirse a la conversación”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/north-korean-hackers-target.html
