Pesquisadores de segurança cibernética descobriram uma variante atualizada de um malware ladrão conhecido que invasores afiliados à República Widespread Democrática da Coreia (RPDC) distribuíram como parte de campanhas anteriores de espionagem cibernética visando candidatos a emprego.
O artefato em questão é um arquivo de imagem de disco (DMG) do Apple macOS chamado “MiroTalk.dmg” que imita o serviço legítimo de videochamada de mesmo nome, mas, na realidade, serve como um canal para entregar uma versão nativa do BeaverTail, disse o pesquisador de segurança Patrick Wardle.
BeaverTail se refere a um malware ladrão de JavaScript que foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em novembro de 2023 como parte de uma campanha chamada Contagious Interview que visa infectar desenvolvedores de software program com malware por meio de um suposto processo de entrevista de emprego. A Securonix está rastreando a mesma atividade sob o apelido DEV#POPPER.
Além de desviar informações confidenciais de navegadores da net e carteiras de criptomoedas, o malware é capaz de entregar cargas úteis adicionais como o InvisibleFerret, um backdoor Python responsável por baixar o AnyDesk para acesso remoto persistente.
Embora o BeaverTail tenha sido distribuído por meio de pacotes npm falsos hospedados no GitHub e no registro de pacotes npm, as descobertas mais recentes marcam uma mudança no vetor de distribuição.
“Se eu tivesse que adivinhar, os hackers da RPDC provavelmente abordaram suas vítimas em potencial, solicitando que elas participassem de uma reunião de contratação, baixando e executando a (versão infectada do) MiroTalk hospedado no mirotalk(.)web”, disse Wardle.
Uma análise do arquivo DMG não assinado revela que ele facilita o roubo de dados de navegadores da net como Google Chrome, Courageous e Opera, carteiras de criptomoedas e iCloud Keychain. Além disso, ele foi projetado para baixar e executar scripts Python adicionais de um servidor remoto (por exemplo, InvisibleFerret).
“Os hackers norte-coreanos são um grupo astuto e bastante hábeis em hackear alvos macOS, embora suas técnicas muitas vezes dependam de engenharia social (e, portanto, do ponto de vista técnico, são pouco impressionantes)”, disse Wardle.
A divulgação ocorre no momento em que o Phylum descobriu um novo pacote npm malicioso chamado call-blockflow, que é virtualmente idêntico ao call-bind legítimo, mas incorpora uma funcionalidade complexa para baixar um arquivo binário remoto, ao mesmo tempo em que faz esforços meticulosos para passar despercebido.
“Neste ataque, embora o pacote call-bind não tenha sido comprometido, o pacote call-blockflow transformado em arma copia toda a confiança e legitimidade do unique para reforçar o sucesso do ataque”, disse em uma declaração compartilhada com o The Hacker Information.
O pacote, suspeito de ser obra do Lazarus Group, ligado à Coreia do Norte, e não publicado cerca de uma hora e meia depois de ter sido carregado no npm, atraiu um complete de 18 downloads. As evidências sugerem que a atividade, compreendendo mais de três dúzias de pacotes maliciosos, está em andamento em ondas desde setembro de 2023.
“Esses pacotes, uma vez instalados, baixariam um arquivo remoto, o descriptografariam, executariam uma função exportada dele e então meticulosamente cobririam seus rastros excluindo e renomeando arquivos”, disse a empresa de segurança da cadeia de suprimentos de software program. “Isso deixou o diretório do pacote em um estado aparentemente benigno após a instalação.”
Também segue um aviso do JPCERT/CC, alertando sobre ataques cibernéticos orquestrados pelo ator norte-coreano Kimsuky visando organizações japonesas.
O processo de infecção começa com mensagens de phishing que se passam por organizações diplomáticas e de segurança e contêm um executável malicioso que, ao ser aberto, leva ao obtain de um script do Visible Primary (VBS), que, por sua vez, recupera um script do PowerShell para coletar informações de conta de usuário, sistema e rede, bem como enumerar arquivos e processos.
As informações coletadas são então exfiltradas para um servidor de comando e controle (C2), que responde com um segundo arquivo VBS que é então executado para buscar e executar um keylogger baseado em PowerShell chamado InfoKey.
“Embora tenha havido poucos relatos de atividades de ataque por Kimsuky visando organizações no Japão, há uma possibilidade de que o Japão também esteja sendo ativamente visado”, disse o JPCERT/CC.
