Los investigadores en ciberseguridad han descubierto una variante actualizada de un conocido malware ladrón que los atacantes afiliados a la República Popular Democrática de Corea (RPDC) han distribuido como parte de campañas anteriores de espionaje cibernético dirigidas a solicitantes de empleo.
El artefacto en cuestión es un archivo de imagen de disco (DMG) de Apple macOS llamado «MiroTalk.dmg» que imita el servicio de videollamada legítimo del mismo nombre, pero, en realidad, sirve como conducto para entregar una versión nativa de BeaverTail, dijo el investigador de seguridad Patrick Wardle. dicho.
BeaverTail hace referencia a un malware ladrón de JavaScript que fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en noviembre de 2023 como parte de una campaña denominada Contagious Interview que tiene como objetivo infectar a los desarrolladores de software con malware a través de un supuesto proceso de entrevistas de trabajo. Securonix está rastreando la misma actividad bajo el nombre de DEV#POPPER.
Además de extraer información confidencial de navegadores web y billeteras de criptomonedas, el malware es capaz de entregar cargas útiles adicionales como InvisibleFerret, una puerta trasera de Python responsable de descargar AnyDesk para acceso remoto persistente.
Si bien BeaverTail se ha distribuido a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los últimos hallazgos marcan un cambio en el vector de distribución.
«Si tuviera que adivinar, los piratas informáticos de la RPDC probablemente se acercaron a sus víctimas potenciales, solicitándoles que se unieran a una reunión de contratación, descargando y ejecutando la (versión infectada de) MiroTalk alojada en mirotalk[.]»net», dijo Wardle.
Un análisis del archivo DMG sin firmar revela que facilita el robo de datos de navegadores web como Google Chrome, Brave y Opera, billeteras de criptomonedas y iCloud Keychain. Además, está diseñado para descargar y ejecutar scripts de Python adicionales desde un servidor remoto (es decir, InvisibleFerret).
«Los hackers norcoreanos son astutos y muy hábiles para hackear objetivos macOS, aunque su técnica a menudo se basa en ingeniería social (y por lo tanto, desde un punto de vista técnico, son bastante poco impresionantes)», dijo Wardle.
La revelación llega en el momento en que Phylum descubierto un nuevo paquete npm malicioso llamado call-blockflow que es virtualmente idéntico al legítimo call-bind pero que incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras realiza esfuerzos minuciosos para pasar desapercibido.
«En este ataque, si bien el paquete call-bind no se ha visto comprometido, el paquete call-blockflow convertido en arma copia toda la confianza y legitimidad del original para reforzar el éxito del ataque», dijo en una declaración compartida con The Hacker News.
El paquete, que se sospecha es obra del Grupo Lazarus, vinculado a Corea del Norte, y que se publicó aproximadamente una hora y media después de haber sido subido a npm, atrajo un total de 18 descargasLa evidencia sugiere que la actividad, que comprende más de tres docenas de paquetes maliciosos, se ha estado desarrollando en oleadas desde septiembre de 2023.
«Estos paquetes, una vez instalados, descargaban un archivo remoto, lo descifraban, ejecutaban una función exportada desde él y luego cubrían meticulosamente sus huellas eliminando y renombrando los archivos», dijo la empresa de seguridad de la cadena de suministro de software. dicho«Esto dejó el directorio del paquete en un estado aparentemente benigno después de la instalación».
También sigue un aviso de JPCERT/CC, advirtiendo sobre ataques cibernéticos orquestados por el actor norcoreano Kimsuky dirigidos a organizaciones japonesas.
El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones diplomáticas y de seguridad y contienen un ejecutable malicioso que, al abrirse, conduce a la descarga de un script de Visual Basic (VBS), que, a su vez, recupera un script de PowerShell para recopilar información de cuentas de usuario, sistema y red, así como enumerar archivos y procesos.
Luego, la información recopilada se filtra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que luego se ejecuta para buscar y ejecutar un keylogger basado en PowerShell llamado InfoKey.
«Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky contra organizaciones en Japón, existe la posibilidad de que Japón también esté siendo atacado activamente», JPCERT/CC dicho.