Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers norcoreanos actualizan el malware BeaverTail para atacar a los usuarios de MacOS
  • Tecnología

Hackers norcoreanos actualizan el malware BeaverTail para atacar a los usuarios de MacOS

teknomers 17 de Temmuz de 2024 (Last updated: 17 de Temmuz de 2024) 4 minutes read
Hackers norcoreanos actualizan el malware BeaverTail para atacar a los


17 de julio de 2024Sala de prensaCiberespionaje / Criptomonedas

Los investigadores en ciberseguridad han descubierto una variante actualizada de un conocido malware ladrón que los atacantes afiliados a la República Popular Democrática de Corea (RPDC) han distribuido como parte de campañas anteriores de espionaje cibernético dirigidas a solicitantes de empleo.

El artefacto en cuestión es un archivo de imagen de disco (DMG) de Apple macOS llamado “MiroTalk.dmg” que imita el servicio de videollamada legítimo del mismo nombre, pero, en realidad, sirve como conducto para entregar una versión nativa de BeaverTail, dijo el investigador de seguridad Patrick Wardle. dicho.

BeaverTail hace referencia a un malware ladrón de JavaScript que fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en noviembre de 2023 como parte de una campaña denominada Contagious Interview que tiene como objetivo infectar a los desarrolladores de software con malware a través de un supuesto proceso de entrevistas de trabajo. Securonix está rastreando la misma actividad bajo el nombre de DEV#POPPER.

Además de extraer información confidencial de navegadores web y billeteras de criptomonedas, el malware es capaz de entregar cargas útiles adicionales como InvisibleFerret, una puerta trasera de Python responsable de descargar AnyDesk para acceso remoto persistente.

La seguridad cibernética

Si bien BeaverTail se ha distribuido a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los últimos hallazgos marcan un cambio en el vector de distribución.

“Si tuviera que adivinar, los piratas informáticos de la RPDC probablemente se acercaron a sus víctimas potenciales, solicitándoles que se unieran a una reunión de contratación, descargando y ejecutando la (versión infectada de) MiroTalk alojada en mirotalk[.]”net”, dijo Wardle.

Un análisis del archivo DMG sin firmar revela que facilita el robo de datos de navegadores web como Google Chrome, Brave y Opera, billeteras de criptomonedas y iCloud Keychain. Además, está diseñado para descargar y ejecutar scripts de Python adicionales desde un servidor remoto (es decir, InvisibleFerret).

“Los hackers norcoreanos son astutos y muy hábiles para hackear objetivos macOS, aunque su técnica a menudo se basa en ingeniería social (y por lo tanto, desde un punto de vista técnico, son bastante poco impresionantes)”, dijo Wardle.

La revelación llega en el momento en que Phylum descubierto un nuevo paquete npm malicioso llamado call-blockflow que es virtualmente idéntico al legítimo call-bind pero que incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras realiza esfuerzos minuciosos para pasar desapercibido.

“En este ataque, si bien el paquete call-bind no se ha visto comprometido, el paquete call-blockflow convertido en arma copia toda la confianza y legitimidad del original para reforzar el éxito del ataque”, dijo en una declaración compartida con The Hacker News.

El paquete, que se sospecha es obra del Grupo Lazarus, vinculado a Corea del Norte, y que se publicó aproximadamente una hora y media después de haber sido subido a npm, atrajo un total de 18 descargasLa evidencia sugiere que la actividad, que comprende más de tres docenas de paquetes maliciosos, se ha estado desarrollando en oleadas desde septiembre de 2023.

“Estos paquetes, una vez instalados, descargaban un archivo remoto, lo descifraban, ejecutaban una función exportada desde él y luego cubrían meticulosamente sus huellas eliminando y renombrando los archivos”, dijo la empresa de seguridad de la cadena de suministro de software. dicho“Esto dejó el directorio del paquete en un estado aparentemente benigno después de la instalación”.

También sigue un aviso de JPCERT/CC, advirtiendo sobre ataques cibernéticos orquestados por el actor norcoreano Kimsuky dirigidos a organizaciones japonesas.

El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones diplomáticas y de seguridad y contienen un ejecutable malicioso que, al abrirse, conduce a la descarga de un script de Visual Basic (VBS), que, a su vez, recupera un script de PowerShell para recopilar información de cuentas de usuario, sistema y red, así como enumerar archivos y procesos.

Luego, la información recopilada se filtra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que luego se ejecuta para buscar y ejecutar un keylogger basado en PowerShell llamado InfoKey.

“Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky contra organizaciones en Japón, existe la posibilidad de que Japón también esté siendo atacado activamente”, JPCERT/CC dicho.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Bob Iger y su esposa Willow Bay firman un contrato récord para un club de fútbol femenino de EE. UU.
Next: Richard Carapaz gana tras una carrera deslumbrante

Related Stories

La « línea roja de la muerte »: el signo
  • Tecnología

La « línea roja de la muerte »: el signo de que tu Steam Machine no va muy bien

teknomers 4 de Temmuz de 2026
Canícula: el error con el aire acondicionado que deja a
  • Tecnología

Canícula: el error con el aire acondicionado que deja a muchos automovilistas varados

teknomers 4 de Temmuz de 2026
Test Mova M10: ¿el mejor aspirador lavador por menos de
  • Tecnología

Test Mova M10: ¿el mejor aspirador lavador por menos de 300 euros?

teknomers 4 de Temmuz de 2026

You May Have Missed

  • Deporte

Celtic: Alex Oxlade-Chamberlain firma un nuevo contrato por un año

teknomers 4 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio africano del día: “Quien come solo no puede… — Lecciones de vida sobre la felicidad, la comunidad, la soledad, la conexión humana y por qué la vida es mejor juntos.

teknomers 4 de Temmuz de 2026
  • Deporte

Tour de Francia 2026: los horarios de salida de la contrarreloj por equipos de la 1ra etapa en Barcelona

teknomers 4 de Temmuz de 2026
  • Cultura

Tiago Rodrigues, director del Festival de Avignon: «No se busca la estrella para atraer público»

teknomers 4 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.