Los investigadores de ciberseguridad han descubierto una variante actualizada del conocido malware ladrón que los atacantes afiliados a la República Popular Democrática de Corea (RPDC) han lanzado como parte de campañas anteriores de ciberespionaje dirigidas a quienes buscan empleo.
El artefacto en cuestión es un archivo de imagen de disco (DMG) de Apple macOS llamado «MiroTalk.dmg» que imita el servicio legítimo de videollamadas del mismo nombre, pero, en realidad, sirve como conducto para entregar una versión nativa de BeaverTail, según el investigador de seguridad Patrick Wardle. dicho.
BeaverTail se refiere al malware de robo de código JavaScript que fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en noviembre de 2023 como parte de una campaña denominada Entrevista Contagiosa que tiene como objetivo infectar a los desarrolladores de software con malware a través de un supuesto proceso de entrevista de trabajo. Securonix sigue la misma actividad bajo el nombre DEV#POPPER.
Además de desviar información confidencial de navegadores web y billeteras criptográficas, el malware es capaz de entregar cargas útiles adicionales como InvisibleFerret, una puerta trasera de Python responsable de descargar AnyDesk para un acceso remoto persistente.
Aunque BeaverTail se distribuyó a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los últimos hallazgos marcan un cambio en el vector de distribución.
“Si tuviera que adivinar, los hackers de la RPDC probablemente se acercaron a sus víctimas potenciales, pidiéndoles que asistieran a una reunión de contratación, descargando y ejecutando la versión infectada de MiroTalk alojada en mirotalk.[.]»Limpio», dijo Wardle.
Un análisis del archivo DMG sin firmar revela que facilita el robo de datos de navegadores web como Google Chrome, Brave y Opera, billeteras de criptomonedas y iCloud Keychain. Además, está diseñado para descargar y ejecutar scripts de Python adicionales desde un servidor remoto (es decir, InvisibleFerret).
«Los piratas informáticos norcoreanos son un grupo astuto y muy hábiles para piratear objetivos macOS, aunque su técnica a menudo se basa en la ingeniería social (y por lo tanto, desde un punto de vista técnico, es bastante mediocre)», dijo Wardle.
La divulgación viene como Phylum descubierto un nuevo paquete npm malicioso llamado call-blockflow que es prácticamente idéntico al paquete call-bind legítimo pero incorpora una funcionalidad compleja para descargar un binario remoto mientras se hace un esfuerzo minucioso para pasar desapercibido.
«En este ataque, aunque el paquete call-bind no se vio comprometido, el paquete call-blockflow armado copia toda la confianza y legitimidad del original para mejorar el éxito del ataque», dijo en un comunicado compartido con The. Noticias de piratas informáticos.
El paquete, que se cree que es obra del Grupo Lazarus vinculado a Corea del Norte y que no se publicó aproximadamente una hora y media después de ser subido a npm, atrajo a un total de 18 descargasLa evidencia sugiere que la actividad, que incluye más de tres docenas de paquetes maliciosos, ha estado ocurriendo en oleadas desde septiembre de 2023.
«Estos paquetes, una vez instalados, descargarían un archivo remoto, lo descifrarían, ejecutarían una función exportada desde él y luego cubrirían meticulosamente sus huellas eliminando y cambiando el nombre de los archivos», dijo la empresa de seguridad de la cadena de adquisición de software. dicho. “Esto dejó el directorio del paquete en un estado aparentemente benigno después de la instalación. »
Esta alerta también sigue a un aviso del JPCERT/CC, advirtiendo sobre ataques cibernéticos orquestados por el actor norcoreano Kimsuky contra organizaciones japonesas.
El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones diplomáticas y de seguridad y contiene un ejecutable malicioso que, cuando se abre, conduce a la descarga de un script de Visual Basic (VBS), que a su vez, recupera un script de PowerShell para recolectar datos del usuario. información de cuenta, sistema y red, así como enumerar archivos y procesos.
Luego, la información recopilada se filtra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que luego se ejecuta para recuperar y ejecutar un registrador de teclas basado en PowerShell llamado InfoKey.
«Si bien ha habido pocos informes sobre la actividad de ataque de Kimsuky contra organizaciones en Japón, es posible que Japón también esté siendo atacado activamente», dijo JPCERT/CC. dicho.