Los actores de amenazas norcoreanos han aprovechado una falsa aplicación de videoconferencia de Windows que se hace pasar por FreeConference.com para crear puertas traseras en los sistemas de los desarrolladores como parte de una campaña en curso con fines financieros denominada Contagious Interview.
La nueva ola de ataque, manchado por la empresa singapurense Group-IB a mediados de agosto de 2024, es otro indicio de que la actividad también está aprovechando instaladores nativos para Windows y Apple macOS para distribuir malware.
Contagious Interview, también conocida como DEV#POPPER, es una campaña maliciosa orquestada por un actor de amenazas norcoreano rastreado por CrowdStrike bajo el nombre de Famous Chollima.
Las cadenas de ataque comienzan con una entrevista de trabajo ficticia, engañando a los solicitantes de empleo para que descarguen y ejecuten un proyecto Node.js que contiene el malware de descarga BeaverTail, que a su vez ofrece una puerta trasera Python multiplataforma conocida como InvisibleFerret, que está equipada con control remoto, registro de teclas y capacidades de robo de navegador.
Algunas iteraciones de BeaverTail, que también funciona como un ladrón de información, se han manifestado en forma de malware JavaScript, generalmente distribuido a través de paquetes npm falsos como parte de una supuesta evaluación técnica durante el proceso de entrevista.
Pero eso cambió en julio de 2024 cuando el instalador MSI de Windows y los archivos de imagen de disco (DMG) de Apple macOS que se hacían pasar por el software de videoconferencia legítimo MiroTalk fueron descubiertos, actuando como un conducto para implementar una versión actualizada de BeaverTail.
Los últimos hallazgos de Group-IB, que ha atribuido la campaña al infame Grupo Lazarus, sugieren que el actor de la amenaza continúa apoyándose en este mecanismo de distribución específico, con la única diferencia de que el instalador («FCCCall.msi») imita a FreeConference.com en lugar de MiroTalk.
Se cree que el instalador falso se descarga de un sitio web llamado freeconference.[.]io, que utiliza el mismo registrador que el ficticio mirotalk[.]sitio web de red.
«Además de Linkedin, Lazarus también busca activamente víctimas potenciales en otras plataformas de búsqueda de empleo como WWR, Moonlight, Upwork y otras», dijo la investigadora de seguridad Sharmine Low.
«Después de hacer el contacto inicial, a menudo… Intentar mover la conversación en Telegram, donde luego pedirían a los potenciales entrevistados que descargaran una aplicación de videoconferencia o un proyecto Node.js para realizar una tarea técnica como parte del proceso de entrevista».
En una señal de que la campaña está siendo refinada activamente, se ha observado que los actores de la amenaza inyectan el código JavaScript malicioso en repositorios relacionados con criptomonedas y juegos. El código JavaScript, por su parte, está diseñado para recuperar el código Javascript de BeaverTail del dominio ipcheck[.]nube o región comprobar[.]neto.
Vale la pena mencionar aquí que este comportamiento también fue destacado recientemente por la empresa de seguridad de la cadena de suministro de software Phylum en relación con un paquete npm llamado helmet-validate, lo que sugiere que los actores de la amenaza están haciendo uso simultáneamente de diferentes vectores de propagación.
Otro cambio notable es que BeaverTail ahora está configurado para extraer datos de más extensiones de billetera de criptomonedas como Kaikas, Rabby, Argent X y Exodus Web3, además de implementar funcionalidad para establecer persistencia usando AnyDesk.
Pero eso no es todo. Las funciones de robo de información de BeaverTail ahora se realizan a través de un conjunto de scripts de Python, denominados colectivamente CivetQ, que pueden recolectar cookies, datos del navegador web, pulsaciones de teclas y contenido del portapapeles, y entregar más scripts. Un total de 74 extensiones de navegador están en el punto de mira del malware.
«El malware puede robar datos de Microsoft Sticky Notes atacando los archivos de base de datos SQLite de la aplicación ubicados en `%LocalAppData%PackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite`, donde las notas del usuario se almacenan en un formato no cifrado», dijo Low.
«Al consultar y extraer datos de esta base de datos, el malware puede recuperar y filtrar información confidencial de la aplicación Sticky Notes de la víctima».
La aparición de CivetQ apunta a un enfoque modularizado, aunque también subraya que las herramientas están en desarrollo activo y han estado evolucionando constantemente en pequeños incrementos durante los últimos meses.
«Lazarus ha actualizado sus tácticas, mejorado sus herramientas y encontrado mejores formas de ocultar sus actividades», dijo Low. «No muestran señales de cejar en sus esfuerzos, y su campaña dirigida a los solicitantes de empleo se extiende hasta 2024 y hasta el día de hoy. Sus ataques se han vuelto cada vez más creativos y ahora están ampliando su alcance a más plataformas».
La revelación se produce cuando la Oficina Federal de Investigaciones (FBI) de Estados Unidos advirtió sobre los ataques agresivos de actores cibernéticos norcoreanos a la industria de las criptomonedas utilizando ataques de ingeniería social «bien disimulados» para facilitar el robo de criptomonedas.
«Los esquemas de ingeniería social de Corea del Norte son complejos y elaborados, y a menudo comprometen a víctimas con conocimientos técnicos sofisticados», dijo el FBI. dicho En un aviso publicado el martes, se afirma que los actores de amenazas exploran a las posibles víctimas revisando su actividad en las redes sociales en redes profesionales o plataformas relacionadas con el empleo.
«Los equipos de actores cibernéticos maliciosos de Corea del Norte identifican empresas específicas relacionadas con DeFi o criptomonedas para atacar e intentan utilizar ingeniería social contra docenas de empleados de estas empresas para obtener acceso no autorizado a la red de la empresa».