Los actores de amenaza de Corea del Norte detr\u00e1s del Entrevista contagiosa<\/strong> Se ha observado una campa\u00f1a utilizando versiones actualizadas de un malware multiplataforma llamado OtterCookie con capacidades para robar credenciales de los navegadores web y otros archivos.<\/p>\n NTT Security Holdings, que detallado<\/a> Los nuevos hallazgos, dijeron que los atacantes han actualizado “activa y continuamente” el malware, introduciendo las versiones V3 y V4 en febrero y abril de 2025, respectivamente.<\/p>\n La compa\u00f1\u00eda japonesa de ciberseguridad est\u00e1 rastreando el cl\u00faster bajo el nombre Tap\u00f3n de agua<\/strong>que tambi\u00e9n se conoce como CL-STA-0240, DeceptivedEvelopment, Dev#Popper, famosa Chollima, Purplebravo y Tenacious Pungsan.<\/p>\n Ottercookie fue documentado por primera vez por NTT el a\u00f1o pasado despu\u00e9s de haberlo observado en ataques desde septiembre de 2024. Entregado por medio de una carga \u00fatil de JavaScript a trav\u00e9s de un paquete Malicioso NPM, un apositorio de github troyanizado o un apositorio de bitbucket, o una aplicaci\u00f3n de videoconferencias de videoconferencia de Boqued, est\u00e1 dise\u00f1ado para contactar a un servidor externo para ejecutar los comandos de los hosts comprometidos.<\/p>\n Se ha encontrado que OtterCookie V3 incorpora un nuevo m\u00f3dulo de carga para enviar archivos que coinciden con un conjunto predefinido de extensiones al servidor externo. Esto consiste en variables de entorno, im\u00e1genes, documentos, hojas de c\u00e1lculo, archivos de texto y archivos que contienen frases mnem\u00f3nicas y de recuperaci\u00f3n asociadas con billeteras de criptomonedas.<\/p>\n Vale la pena se\u00f1alar que este m\u00f3dulo se ejecut\u00f3 previamente en Ottercookie V2 como un comando shell recibido del servidor.<\/p>\n La cuarta iteraci\u00f3n del malware se expande en su predecesor al agregar dos m\u00f3dulos m\u00e1s para robar credenciales de Google Chrome, as\u00ed como extraer datos de la extensi\u00f3n de Metamask para Google Chrome, Brave Browser e iCloud KeyCain.<\/p>\n Otra nueva caracter\u00edstica adici\u00f3n a OtterCookie V4 es la capacidad de detectar si se ejecuta en entornos de m\u00e1quina virtual (VM) relacionadas con Broadcom VMware, Oracle Virtualbox, Microsoft y QEMU.<\/p>\n Curiosamente, se ha encontrado que el primer m\u00f3dulo de robador responsable de recopilar credenciales de Google Chrome lo hace despu\u00e9s de descifrarlas, mientras que el segundo m\u00f3dulo recolecta datos de inicio de sesi\u00f3n cifrados de navegadores como Chrome y Brave.<\/p>\n “Esta diferencia en el procesamiento de datos o el estilo de codificaci\u00f3n implica que estos m\u00f3dulos fueron desarrollados por diferentes desarrolladores”, dijeron los investigadores Masaya Motoda y Rintaro Koike.<\/p>\n La divulgaci\u00f3n se produce cuando m\u00faltiples cargas de \u00fatiles maliciosas relacionadas con la campa\u00f1a de entrevistas contagiosas se han descubierto en los \u00faltimos meses, lo que indica que los actores de amenaza est\u00e1n refinando su modus operandi.<\/p>\n Esto incluye un robador de informaci\u00f3n basado en GO que se entrega bajo la apariencia de una actualizaci\u00f3n de controlador Realtek (“Webcam.zip”) que, cuando se abre, ejecuta un script de shell responsable de descargar el robador y lanzar una aplicaci\u00f3n MACOS enga\u00f1osa (“Driverminupdate.app”) dise\u00f1ada para cosechar la contrase\u00f1a del sistema de macOS de v\u00edctimas.<\/p>\n Se cree que el malware se distribuy\u00f3 como parte de una versi\u00f3n actualizada de la entrevista de ClickFake con nombre en forma de actividad de Sekoia el mes pasado debido al uso de se\u00f1uelos de estilo ClickFix para solucionar problemas de audio y video inexistentes durante una evaluaci\u00f3n en l\u00ednea para un proceso de entrevista de trabajo.<\/p>\n “El papel principal del robador es establecer un canal C2 persistente, perfilar el sistema infectado y exfiltrado datos confidenciales”, “Divisi\u00f3n de seguridad cibern\u00e9tica de MacPaw, Locklock, dicho<\/a>. “Logra esto a trav\u00e9s de una combinaci\u00f3n de reconocimiento del sistema, robo de credenciales y ejecuci\u00f3n de comandos remotos”.<\/p>\n Se eval\u00faa que la aplicaci\u00f3n driverminupdate es parte de un colocar<\/a> de similar<\/a> aplicaciones maliciosas<\/a> que han sido descubiertos por DMPDUMP, Sentinelone, Enki y Kandji como ChromeUpdateElt, Chromeupdate, CameraCcess y DriverEasy.<\/p>\n Una segunda familia de malware nueva conectada a la campa\u00f1a es el trabajo de marco de tsunami, que se entrega como una carga \u00fatil de seguimiento a un patio trasero de Python conocido denominado Invisibleferret. Un malware modular basado en .NET, est\u00e1 equipado para robar una amplia gama de datos de navegadores web y billeteras de criptomonedas.<\/p>\n Tambi\u00e9n incorpora caracter\u00edsticas para registrar las teclas de teclas, recopilar archivos e incluso un componente de botnet que parece estar bajo desarrollo temprano, la compa\u00f1\u00eda de seguridad alemana Hisolutions dicho<\/a> en un informe publicado a fines del mes pasado. <\/p>\n Se cree que la entrevista contagiosa, por eset, es un nuevo grupo de actividades que forma parte del Grupo de Lazarus, un notorio grupo de pirater\u00eda de Corea del Norte que tiene una historia hist\u00f3rica de orquestar ataques con motivaci\u00f3n de espionaje y financieramente como una forma de avanzar en los objetivos estrat\u00e9gicos y las sanciones internacionales de la naci\u00f3n.<\/p>\n A principios de este a\u00f1o, el colectivo adversario se atribuy\u00f3 a la ruptura r\u00e9cord atraco a mil millones de d\u00f3lares<\/a> de la plataforma de criptomonedas Bybit.<\/p>\n Los hallazgos se producen cuando la compa\u00f1\u00eda de seguridad cibern\u00e9tica Sophos revel\u00f3 que los actores de amenaza detr\u00e1s del esquema de trabajadores de TI fraudulentos de Corea del Norte, tambi\u00e9n conocido como Chollima, Tapestry de n\u00edquel y Wageme, han comenzado a dirigirse cada vez m\u00e1s a las organizaciones en Europa y Asia, e industrias m\u00e1s all\u00e1 del sector de la tecnolog\u00eda para asegurar empleos y canalizar los ingresos a Pyongyang.<\/p>\n “A lo largo de la fase previa al empleo, los actores de amenaza a menudo manipulan digitalmente fotos para sus curr\u00edculums falsificados y perfiles de LinkedIn, y para acompa\u00f1ar la historia laboral previa o las reclamaciones de proyectos grupales”, la Unidad de Amenazos de Contador SecureWorks de la compa\u00f1\u00eda (CTU) dicho<\/a>.<\/p>\n “Com\u00fanmente usan fotos de archivo superpuestas con im\u00e1genes reales de s\u00ed mismos. Los actores de amenaza tambi\u00e9n han aumentado el uso de la IA generativa, incluidas las herramientas de escritura, las herramientas de edici\u00f3n de im\u00e1genes y los constructores de curr\u00edculums”.<\/p>\n Los trabajadores fraudulentos, al conseguir un trabajo, tambi\u00e9n se han encontrado utilizando Utilidades de rat\u00f3n jiggler<\/a>Software VPN como Astrill VPN y KVM sobre IP para acceso remoto, en algunos casos incluso recurriendo a las llamadas de zoom de ocho horas para compartir pantalla. <\/p>\n La semana pasada, la plataforma de intercambio de criptomonedas Kraken revel\u00f3 c\u00f3mo una entrevista de trabajo de rutina para un puesto de ingenier\u00eda se convirti\u00f3 en una operaci\u00f3n de recolecci\u00f3n de inteligencia despu\u00e9s de que vio a un hacker norcoreano que intentaba infiltrarse en la compa\u00f1\u00eda con el nombre Steven Smith<\/a>.<\/p>\n “El candidato us\u00f3 escritorios Mac colocados remotos pero interactu\u00f3 con otros componentes a trav\u00e9s de una VPN, una configuraci\u00f3n com\u00fanmente implementada para ocultar la ubicaci\u00f3n y la actividad de la red”, la compa\u00f1\u00eda dicho<\/a>. “Su curr\u00edculum estaba vinculado a un perfil de GitHub que conten\u00eda una direcci\u00f3n de correo electr\u00f3nico expuesta en una violaci\u00f3n de datos anterior”.<\/p>\n “La forma principal del candidato de identificaci\u00f3n parec\u00eda estar alterada, probablemente utilizando detalles robados en un caso de robo de identidad dos a\u00f1os antes”.<\/p>\n Pero en lugar de rechazar la solicitud del candidato directamente, Kraken dijo que sus equipos de seguridad y reclutamiento “estrat\u00e9gicamente” los avanzaron a trav\u00e9s de su proceso de entrevista como para atraparlos pidi\u00e9ndoles que confirmaran su ubicaci\u00f3n, mantengan una identificaci\u00f3n emitida por el gobierno y recomiendan algunos restaurantes locales en la ciudad en los que afirmaron estar.<\/p>\n “Pleavado y sorprendido, lucharon con las pruebas de verificaci\u00f3n b\u00e1sicas y no pudieron responder de manera convincente preguntas en tiempo real sobre su ciudad de residencia o pa\u00eds de ciudadan\u00eda”, dijo Kraken. “Al final de la entrevista, la verdad era clara: este no era un solicitante leg\u00edtimo, sino un impostor que intentaba infiltrarse en nuestros sistemas”.<\/p>\n En otro caso documentado por el Departamento de Justicia de los Estados Unidos (DOJ) el mes pasado, un hombre de Maryland de 40 a\u00f1os, Minh Phuong Ngoc Vong, se declar\u00f3 culpable<\/a> Fraude despu\u00e9s de asegurar un trabajo con un contratista gubernamental y luego subcontratando el trabajo a un nacional norcoreano que reside en Shenyang, China, lo que subraya la gravedad de la actividad de recaudaci\u00f3n de fondos il\u00edcitas.<\/p>\n La capacidad de Corea del Norte de deslizar sigilosamente a miles de sus trabajadores en las principales empresas, a menudo con la ayuda de facilitadores<\/a> quienes dirigen lo que se llama una granja de computadoras port\u00e1tiles ha llevado a advertencias repetidas de los gobiernos japoneses, surcoreanos, del Reino Unido y los Estados Unidos.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/OtterCookie-V4-agrega-Capacidades-de-robo-de-credenciales-de-VM.jpg\")
<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\nLa amenaza de trabajadores de TI de Corea del Norte perdura<\/h3>\n
<\/a><\/center><\/div>\n