Les acteurs de la menace nord-coréenne ont exploité une fausse application de vidéoconférence Windows se faisant passer pour FreeConference.com pour pirater les systèmes des développeurs dans le cadre d’une campagne continue à caractère financier baptisée Contagious Interview.
La nouvelle vague d’attaque, repéré par la société singapourienne Group-IB à la mi-août 2024, est une autre indication que l’activité exploite également les installateurs natifs de Windows et d’Apple macOS pour diffuser des logiciels malveillants.
Contagious Interview, également connu sous le nom de DEV#POPPER, est une campagne malveillante orchestrée par un acteur malveillant nord-coréen suivi par CrowdStrike sous le surnom de Famous Chollima.
Les chaînes d’attaque commencent par un entretien d’embauche fictif, incitant les demandeurs d’emploi à télécharger et à exécuter un projet Node.js contenant le malware de téléchargement BeaverTail, qui à son tour fournit une porte dérobée Python multiplateforme connue sous le nom d’InvisibleFerret, qui est équipée de fonctions de contrôle à distance, d’enregistrement de frappe et de vol de navigateur.
Certaines itérations de BeaverTail, qui fonctionne également comme un voleur d’informations, se sont manifestées sous la forme de malware JavaScript, généralement distribués via de faux packages npm dans le cadre d’une prétendue évaluation technique au cours du processus d’entretien.
Mais cela a changé en juillet 2024 lorsque le programme d’installation MSI de Windows et les fichiers d’image disque (DMG) d’Apple macOS se faisant passer pour le logiciel de visioconférence légitime MiroTalk ont été découverts dans la nature, agissant comme un canal pour déployer une version mise à jour de BeaverTail.
Les dernières découvertes du Group-IB, qui a attribué la campagne au tristement célèbre groupe Lazarus, suggèrent que l’acteur de la menace continue de s’appuyer sur ce mécanisme de distribution spécifique, la seule différence étant que l’installateur (« FCCCall.msi ») imite FreeConference.com au lieu de MiroTalk.
On pense que le faux programme d’installation est téléchargé à partir d’un site Web appelé freeconference[.]io, qui utilise le même registraire que le mirotalk fictif[.]site Internet.
« En plus de Linkedin, Lazarus recherche également activement des victimes potentielles sur d’autres plateformes de recherche d’emploi telles que WWR, Moonlight, Upwork et d’autres », a déclaré la chercheuse en sécurité Sharmine Low.
« Après avoir établi un premier contact, ils me contactaient souvent. tenter de faire avancer la conversation sur Telegram, où ils demandaient ensuite aux candidats potentiels à l’entretien de télécharger une application de visioconférence ou un projet Node.js pour effectuer une tâche technique dans le cadre du processus d’entretien.
Signe que la campagne est en cours de perfectionnement, les acteurs malveillants ont été observés en train d’injecter le code JavaScript malveillant dans des référentiels liés à la cryptomonnaie et aux jeux. Le code JavaScript, quant à lui, est conçu pour récupérer le code JavaScript de BeaverTail à partir du domaine ipcheck[.]vérification du cloud ou de la région[.]filet.
Il convient de mentionner ici que ce comportement a également été récemment mis en évidence par la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum en relation avec un package npm nommé helmet-validate, suggérant que les acteurs de la menace utilisent simultanément différents vecteurs de propagation.
Un autre changement notable est que BeaverTail est désormais configuré pour extraire des données de davantage d’extensions de portefeuille de crypto-monnaie telles que Kaikas, Rabby, Argent X et Exodus Web3, en plus d’implémenter des fonctionnalités pour établir la persistance à l’aide d’AnyDesk.
Ce n’est pas tout. Les fonctions de vol d’informations de BeaverTail sont désormais réalisées grâce à un ensemble de scripts Python, appelés collectivement CivetQ, qui sont capables de collecter des cookies, des données de navigateur Web, des frappes au clavier et du contenu du presse-papiers, et de fournir davantage de scripts. Au total, 74 extensions de navigateur sont ciblées par le malware.
« Le logiciel malveillant est capable de voler des données à partir de Microsoft Sticky Notes en ciblant les fichiers de base de données SQLite de l’application situés dans `%LocalAppData%PackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite`, où les notes des utilisateurs sont stockées dans un format non chiffré », a déclaré Low.
« En interrogeant et en extrayant des données de cette base de données, le logiciel malveillant peut récupérer et exfiltrer des informations sensibles de l’application Sticky Notes de la victime. »
L’émergence de CivetQ indique une approche modulaire, tout en soulignant que les outils sont en cours de développement actif et ont constamment évolué par petits incréments au cours des derniers mois.
« Lazarus a mis à jour ses tactiques, amélioré ses outils et trouvé de meilleurs moyens de dissimuler ses activités », a déclaré Low. « Ils ne montrent aucun signe de relâchement de leurs efforts, leur campagne ciblant les demandeurs d’emploi s’étendant jusqu’en 2024 et jusqu’à aujourd’hui. Leurs attaques sont devenues de plus en plus créatives et ils étendent désormais leur portée sur davantage de plateformes. »
Cette révélation intervient alors que le Federal Bureau of Investigation (FBI) américain a mis en garde contre le ciblage agressif de l’industrie des crypto-monnaies par les cyberacteurs nord-coréens en utilisant des attaques d’ingénierie sociale « bien déguisées » pour faciliter le vol de crypto-monnaies.
« Les stratagèmes d’ingénierie sociale nord-coréens sont complexes et élaborés, compromettant souvent les victimes dotées d’un sens technique sophistiqué », a déclaré le FBI. dit dans un avis publié mardi, indiquant que les acteurs de la menace recherchent des victimes potentielles en examinant leur activité sur les réseaux sociaux sur des plateformes de réseautage professionnel ou liées à l’emploi.
« Des équipes d’acteurs malveillants de la cybersécurité nord-coréens identifient des entreprises spécifiques liées à la DeFi ou aux cryptomonnaies à cibler et tentent de manipuler socialement des dizaines d’employés de ces entreprises pour obtenir un accès non autorisé au réseau de l’entreprise. »