Los actores de amenazas norcoreanos están utilizando una aplicación de videoconferencia falsa de Windows que se hace pasar por FreeConference.com para acceder a los sistemas de los desarrolladores como parte de su campaña en curso con motivación financiera, Contagious Interview.
Una nueva ola de ataques descubierta por la empresa de Singapur Group-IB a mediados de agosto de 2024 es otra señal de que los instaladores nativos para Windows y Apple macOS también se están utilizando para distribuir malware.
Contagious Interview (también rastreada como DEV#POPPER) es una campaña maliciosa orquestada por un actor de amenazas norcoreano rastreado por CrowdStrike bajo el nombre de Famous Chollima.
La cadena de ataque comienza con una entrevista de trabajo ficticia y engaña a los solicitantes de empleo para que descarguen y ejecuten un proyecto Node.js que contiene el malware de descarga BeaverTail. Luego, el malware entrega InvisibleFerret, una puerta trasera Python multiplataforma con capacidades de control remoto, registro de teclas y robo de navegador.
Varias iteraciones de BeaverTail, que también tienen capacidades de robo de información, han aparecido en forma de malware JavaScript, distribuido a través de paquetes npm falsos, generalmente como parte de una evaluación técnica durante un proceso de entrevista.
Sin embargo, en julio de 2024, se descubrieron instaladores MSI de Windows y archivos de imagen de disco (DMG) de Apple macOS disfrazados de software de videoconferencia MiroTalk legítimo que sirvieron como conducto para implementar una versión actualizada de BeaverTail. La situación cambió por completo.
Según los últimos hallazgos de Group-IB, que atribuyen esta campaña al famoso Lazarus Group, los actores de amenazas parecen seguir confiando en este mecanismo de distribución particular. La única diferencia es que el instalador (“FCCCall.msi'') imita a FreeConference.com en lugar de MiroTalk.
Se cree que el instalador falso se descarga de un sitio web llamado freeconference(.)io, que utiliza el mismo registrador que el sitio web ficticio mirotalk(.)net.
“Además de Linkedin, Lazarus busca activamente víctimas potenciales en otras plataformas de búsqueda de empleo como WWR, Moonlight y Upwork”, dijo el investigador de seguridad Sharmine Low.
“Después del contacto inicial, a menudo intentan trasladar la conversación a Telegram, donde piden a los posibles entrevistados que utilicen una aplicación de videoconferencia o Node.js para realizar tareas técnicas como parte del proceso de entrevista.
Se ha observado que los atacantes inyectan JavaScript malicioso tanto en criptomonedas como en repositorios relacionados con juegos, y hay señales de que este ataque se está perfeccionando activamente. El código JavaScript está diseñado para recuperar el código Javascript de BeaverTail del dominio ipcheck(.)nube o regioncheck(.)net.
Vale la pena mencionar aquí que este comportamiento fue destacado recientemente por la empresa de seguridad de la cadena de suministro de software Phylum en relación con un paquete npm llamadohelm-validate, que permite a los actores de amenazas utilizar diferentes vectores de propagación al mismo tiempo.
Otro cambio notable es que BeaverTail no solo implementa la capacidad de establecer persistencia usando AnyDesk, sino que también está configurada para extraer datos desde más extensiones de billetera de criptomonedas como Kaikas, Rabby, Argent X y Exodus Web3.
Eso no es todo. Las capacidades de robo de información de BeaverTail están actualmente habilitadas a través de un conjunto de scripts de Python llamado CivetQ, que puede recopilar cookies, datos del navegador web, pulsaciones de teclas, contenido del portapapeles y entregar aún más scripts. El malware atacó un total de 74 extensiones de navegador.
“El malware se dirige al archivo de base de datos SQLite de la aplicación ubicado en `%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite` donde las notas del usuario se almacenan en un formato no cifrado. Puede robar datos de Sticky Notes”, dice Low.
“Al consultar esta base de datos y extraer datos, el malware puede obtener y robar información confidencial de la aplicación Sticky Notes de la víctima”.
La aparición de CivetQ indica un enfoque modular y al mismo tiempo destaca que la herramienta está en desarrollo activo y ha seguido evolucionando poco a poco durante los últimos meses.
“Lazarus actualizó sus tácticas, mejoró sus herramientas y encontró mejores formas de ocultar sus actividades”, dijo Lowe. “No muestran signos de desaceleración, y los ataques a quienes buscan empleo continuarán hasta 2024 y hasta el presente.
La revelación se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. informa que los ciberatacantes norcoreanos están utilizando ataques de ingeniería social “bien disfrazados” para facilitar el robo de criptomonedas y están apuntando activamente a la industria de las criptomonedas. Esto se hizo en respuesta a una advertencia de que.
“Los esquemas de ingeniería social de Corea del Norte son complejos y sofisticados, y a menudo ponen en peligro a las víctimas con perspicacia técnica avanzada”, dijo el FBI en un aviso publicado el martes, y agregó que los actores de la amenaza son. Dijo que estaba buscando víctimas potenciales observando la actividad de las redes sociales en redes y plataformas relacionadas con el empleo.
“Un equipo de ciberatacantes maliciosos de Corea del Norte se dirigió específicamente a empresas específicas de DeFi o relacionadas con criptomonedas, realizó ingeniería social a docenas de empleados de esas empresas y obtuvo acceso a sus redes”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/north-korean-hackers-targets-job.html
