Los actores de amenazas norcoreanos explotaron una aplicación de videoconferencia falsa de Windows haciéndose pasar por FreeConference.com para piratear los sistemas de los desarrolladores como parte de una campaña en curso con motivación financiera denominada Entrevista Contagiosa.
La nueva ola de ataque, manchado por la empresa singapurense Group-IB a mediados de agosto de 2024, es otro indicio de que la actividad también explota los instaladores nativos de Windows y Apple macOS para distribuir malware.
Contagious Interview, también conocida como DEV#POPPER, es una campaña maliciosa orquestada por un actor de amenazas norcoreano rastreado por CrowdStrike bajo el sobrenombre de Famous Chollima.
Las cadenas de ataques comienzan con una entrevista de trabajo simulada, engañando a los solicitantes de empleo para que descarguen y ejecuten un proyecto Node.js que contiene el malware de descarga BeaverTail, que a su vez proporciona una puerta trasera Python multiplataforma conocida como InvisibleFerret, que está equipada con control remoto. funciones de registro de teclas y robo de navegador.
Algunas iteraciones de BeaverTail, que también funciona como ladrón de información, se han manifestado como malware JavaScript, generalmente distribuido a través de paquetes npm falsos como parte de la llamada evaluación técnica durante el proceso de entrevista.
Pero eso cambió en julio de 2024 cuando se descubrieron en la naturaleza el instalador MSI de Windows y archivos de imagen de disco (DMG) de Apple macOS disfrazados de software de videoconferencia legítimo MiroTalk, que actúan como un canal para implementar una versión actualizada de BeaverTail.
Los últimos hallazgos de Group-IB, que atribuyeron la campaña al infame Lazarus Group, sugieren que el actor de amenazas continúa confiando en este mecanismo de distribución específico, con la única diferencia de que el instalador («FCCCall .msi») imita a FreeConference. com en lugar de MiroTalk.
Se cree que el instalador falso se descargó de un sitio web llamado freeconference[.]io, que utiliza el mismo registrador que el ficticio mirotalk[.]sitio web.
«Además de Linkedin, Lazarus también busca activamente víctimas potenciales en otras plataformas de búsqueda de empleo como WWR, Moonlight, Upwork y otras», dijo el investigador de seguridad Sharmine Low.
“Después de hacer el contacto inicial, me contactaron con frecuencia. intenta hacer avanzar la conversación en Telegram, donde luego pidieron a los posibles candidatos a la entrevista que descargaran una aplicación de videoconferencia o un proyecto Node.js para completar una tarea técnica como parte del proceso de entrevista.
En una señal de que la campaña se está perfeccionando, se ha observado que actores maliciosos inyectan código JavaScript malicioso en repositorios relacionados con criptomonedas y juegos. El código JavaScript, por otro lado, está diseñado para recuperar el código JavaScript de BeaverTail del dominio ipcheck.[.]verificación de nube o región[.]neto.
Vale la pena mencionar aquí que este comportamiento también fue destacado recientemente por la empresa de seguridad de la cadena de suministro de software Phylum en relación con un paquete npm llamadohelm-validate, lo que sugiere que los actores de amenazas están utilizando simultáneamente diferentes vectores de propagación.
Otro cambio notable es que BeaverTail ahora está configurado para extraer datos de más extensiones de billetera de criptomonedas, como la ayuda de Kaikas, Rabby y Argent AnyDesk.
Eso no es todo. Las funciones de robo de información de BeaverTail ahora se logran a través de un conjunto de secuencias de comandos Python, denominadas colectivamente CivetQ, que son capaces de recopilar cookies, datos del navegador web, pulsaciones de teclas y contenidos del portapapeles, y proporcionar más secuencias de comandos. En total, el malware ataca a 74 extensiones de navegador.
«El malware es capaz de robar datos de Microsoft Sticky Notes dirigiéndose a los archivos de base de datos SQLite de la aplicación ubicados en `%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite`, donde las notas del usuario se almacenan en un formato no cifrado». Dijo Bajo.
“Al consultar y extraer datos de esta base de datos, el malware puede recuperar y filtrar información confidencial de la aplicación Sticky Notes de la víctima. »
La aparición de CivetQ indica un enfoque modular, al tiempo que enfatiza que las herramientas están en desarrollo activo y han estado evolucionando constantemente en pequeños incrementos durante los últimos meses.
«Lazarus ha actualizado sus tácticas, mejorado sus herramientas y encontrado mejores formas de ocultar sus actividades», dijo Low. “No muestran signos de ceder en sus esfuerzos, y su campaña dirigida a quienes buscan empleo se extenderá hasta 2024 y hasta hoy. Sus ataques se han vuelto cada vez más creativos y ahora están ampliando su alcance a más plataformas. »
La revelación se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió sobre ataques agresivos a la industria de las criptomonedas por parte de actores cibernéticos norcoreanos que utilizan ataques de ingeniería social «bien disfrazados» para facilitar el robo de criptomonedas.
«Los planes de ingeniería social de Corea del Norte son complejos y elaborados, y a menudo comprometen a las víctimas con una perspicacia técnica sofisticada», dijo el FBI. dicho en un aviso publicado el martes, que afirma que los actores de amenazas buscan víctimas potenciales examinando su actividad en las redes sociales en plataformas de redes profesionales o relacionadas con el empleo.
“Los equipos de actores de amenazas a la ciberseguridad de Corea del Norte identifican empresas específicas relacionadas con DeFi o criptomonedas para atacar e intentan manipular socialmente a docenas de empleados de esas empresas para obtener acceso no autorizado a la red de la empresa. »
