Se ha observado que los actores de amenazas con vínculos con Corea del Norte se dirigen a quienes buscan empleo en la industria tecnológica para entregar versiones actualizadas de familias de malware conocidas rastreadas como BeaverTail e InvisibleFerret.
El grupo de actividades, rastreado como CL-STA-0240, es parte de una campaña denominada Entrevista contagiosa que la Unidad 42 de Palo Alto Networks reveló por primera vez en noviembre de 2023.
“El actor de amenazas detrás de CL-STA-0240 contacta a los desarrolladores de software a través de plataformas de búsqueda de empleo haciéndose pasar por un posible empleador”, dijo la Unidad 42 en un nuevo informe.
“Los atacantes invitan a la víctima a participar en una entrevista en línea, donde el actor de la amenaza intenta convencerla para que descargue e instale malware”.
La primera etapa de la infección involucra al descargador y ladrón de información BeaverTail que está diseñado para apuntar a plataformas Windows y Apple macOS. El malware actúa como un conducto para la puerta trasera InvisibleFerret basada en Python.
Hay evidencia que sugiere que la actividad permanece activa a pesar de la divulgación pública, lo que indica que los actores de amenazas detrás de la operación continúan saboreando el éxito al incitar a los desarrolladores a ejecutar código malicioso con el pretexto de una tarea de codificación.
El investigador de seguridad Patrick Wardle y la empresa de ciberseguridad Group-IB, en dos análisis independientes, detallaron una cadena de ataque que aprovechó aplicaciones falsas de videoconferencia de Windows y macOS que se hacían pasar por MiroTalk y FreeConference.com para infiltrarse en los sistemas de los desarrolladores con BeaverTail e InvisibleFerret.
“El modus operandi general de la campaña CL-STA-0240 Contagious Interview se ha mantenido sin cambios probablemente debido a la continua efectividad de su enfoque”, dijo Assaf Dahan, director de investigación de amenazas en la Unidad 42, a The Hacker News.
“Aunque la campaña ha sido informada y analizada públicamente, las técnicas de ingeniería social, como hacerse pasar por reclutadores, tienden a ser muy efectivas, especialmente cuando se dirigen a personas que desconocen tales amenazas o que pueden pasar por alto prácticas básicas de seguridad durante una búsqueda de empleo. Explotando la confianza y urgencia en entornos profesionales, estos atacantes han creado un método confiable para obtener acceso a los dispositivos de las víctimas”.
Lo que hace que la última versión sea notable es que la aplicación falsa se desarrolla utilizando Qt, que admite la compilación cruzada tanto para Windows como para macOS. La versión de BeaverTail basada en Qt es capaz de robar contraseñas del navegador y recopilar datos de varias carteras de criptomonedas.
“Otro factor (detrás de la falta de cambios tácticos de la campaña) puede ser la introducción de una versión nueva, menos sospechosa y más evasiva de su malware (BeaverTail, ahora escrito en el marco Qt) que apunta tanto a las plataformas macOS como a Windows”, dijo Dahan. .
“Esto permite utilizar el mismo método de ataque (entrevistas de trabajo falsas y suplantación de reclutadores) en una gama más amplia de víctimas y dispositivos, sin una necesidad significativa de cambiar la mecánica operativa de la campaña”.
BeaverTail, además de filtrar los datos a un servidor controlado por el adversario, está equipado para descargar y ejecutar la puerta trasera InvisibleFerret, que incluye dos componentes propios:
- Una carga útil principal que permite tomar huellas digitales del host infectado, control remoto, registro de teclas, exfiltración de datos y descarga de AnyDesk.
- Un ladrón de navegadores que recopila credenciales del navegador e información de tarjetas de crédito
“Se sabe que los actores de amenazas norcoreanos cometen delitos financieros para obtener fondos para apoyar al régimen de la RPDC”, dijo la Unidad 42. “Esta campaña puede tener una motivación financiera, ya que el malware BeaverTail tiene la capacidad de robar 13 carteras de criptomonedas diferentes”.
(La historia se actualizó después de la publicación para incluir respuestas adicionales de la Unidad 42 de Palo Alto Networks).
