Los actores de amenazas de Corea del Norte han estado utilizando una aplicación de videollamadas falsa de Windows que finge ser FreeConference.com para acceder a sistemas de desarrollo como parte de una campaña de contagio temporal.
Se ha identificado una nueva oleada de ataques a mediados de agosto de 2024. La empresa singapurense Group-IB encontró que la actividad también está utilizando instaladores nativos para Windows y Apple macOS para distribuir malware.
La campaña, conocida como Contagious Interview o DEV#POPPER, está siendo orquestada por un actor norcoreano rastreado por CrowdStrike como Famous Chollima.
Los ataques comienzan con una supuesta entrevista de trabajo y llevan a los solicitantes a descargar y ejecutar un proyecto Node.js que contiene el malware descargador BeaverTail. Este, a su vez, despliega un backdoor de Python multiplataforma llamado InvisibleFerret, que tiene capacidades de control remoto, captura de teclas y robo de datos del navegador.
Algunas versiones de BeaverTail se han presentado como malware JavaScript, distribuido a través de paquetes npm falsos como parte de una evaluación técnica durante un proceso de entrevista.
En julio de 2024 se descubrieron archivos de instalador para Windows MSI y Apple macOS DMG que se hacen pasar por el software de videollamadas MiroTalk, actuando como canal para desplegar una versión actualizada de BeaverTail.
Los últimos hallazgos atribuyen la campaña al Grupo Lazarus y sugieren que el actor de amenazas aún depende de este mecanismo de distribución específico, simulando a FreeConference.com en lugar de MiroTalk.
Se cree que el instalador falso se descarga de un sitio web llamado freeconference[.]io, relacionado con el ficticio sitio web mirotalk[.]net.
Según la investigadora de seguridad Sharmine Low, Lazarus está buscando víctimas potenciales en plataformas de búsqueda de empleo como LinkedIn, WWR, Moonlight, Upwork, entre otras.
Además, los actores de amenazas inyectan malware JavaScript en repositorios relacionados con criptomonedas y juegos, con el fin de recuperar código malicioso de BeaverTail.
La empresa de seguridad Phylum ha destacado recientemente la utilización de un paquete npm llamado helmet-validate en relación con este comportamiento, lo que sugiere que se están utilizando diferentes vectores de propagación.
Otro cambio significativo es la configuración de BeaverTail para extraer datos de extensiones de monederos criptográficos y establecer persistencia usando AnyDesk. Además, BeaverTail ahora utiliza un conjunto de scripts de Python llamado CivetQ para llevar a cabo funciones de robo de información.
La aparición de CivetQ indica un enfoque modularizado, subrayando el constante desarrollo y evolución gradual de estas herramientas por parte del Grupo Lazarus.
Como parte de estas mejoras, el malware también es capaz de robar datos de Microsoft Sticky Notes, al buscar en la base de datos SQLite de la aplicación, donde las notas del usuario se almacenan en un formato no cifrado.
Estos hallazgos subrayan la naturaleza activamente refinada de la campaña, que se ha expandido hasta el año 2024 y se ha vuelto más creativa y abarcativa a través de distintas plataformas de búsqueda de empleo.
Mientras tanto, la Oficina Federal de Investigaciones (FBI) de los Estados Unidos ha advertido sobre la orientación agresiva de los actores cibernéticos de Corea del Norte hacia la industria criptográfica, utilizando ataques de ingeniería social para el robo de criptomonedas.
En un aviso publicado recientemente, el FBI señaló que estos esquemas de ingeniería social son complejos y elaborados, y que los actores de amenazas buscan activamente a posibles víctimas en plataformas de networking profesional o empleo.
Se destacó que los equipos de actores maliciosos cibernéticos norcoreanos buscan específicamente empresas relacionadas con DeFi o criptomonedas para atacar, intentando ingeniería socializar a empleados con conocimientos técnicos para obtener acceso no autorizado a las redes de las empresas.
Vía The Hacker News
La entrada Hackers norcoreanos apuntan a buscadores de empleo con una falsa aplicación de FreeConference se publicó primero en News Bender Daily.
