Foram observados agentes de ameaças com ligações com a Coreia do Norte visando candidatos a emprego na indústria de tecnologia para fornecer versões atualizadas de famílias de malware conhecidas rastreadas como BeaverTail e InvisibleFerret.
O cluster de atividades, rastreado como CL-STA-0240, faz parte de uma campanha denominada Entrevista contagiante que a Unidade 42 da Palo Alto Networks divulgou pela primeira vez em novembro de 2023.
“O agente da ameaça por trás do CL-STA-0240 contata desenvolvedores de software program por meio de plataformas de busca de emprego, fazendo-se passar por um possível empregador”, disse a Unidade 42 em um novo relatório.
“Os invasores convidam a vítima para participar de uma entrevista on-line, onde o autor da ameaça tenta convencer a vítima a baixar e instalar malware”.
O primeiro estágio da infecção envolve o downloader BeaverTail e o ladrão de informações, projetado para atingir as plataformas Home windows e Apple macOS. O malware atua como um canal para o backdoor InvisibleFerret baseado em Python.
Há evidências que sugerem que a atividade permanece ativa apesar da divulgação pública, indicando que os atores da ameaça por trás da operação continuam a saborear o sucesso ao induzir os desenvolvedores a executar código malicioso sob o pretexto de uma atribuição de codificação.
O pesquisador de segurança Patrick Wardle e a empresa de segurança cibernética Group-IB, em duas análises recentes, detalharam uma cadeia de ataque que aproveitou aplicativos falsos de videoconferência do Home windows e maCOS, representando MiroTalk e FreeConference.com para se infiltrar em sistemas de desenvolvedores com BeaverTail e InvisibleFerret.
O que chama a atenção é que o aplicativo falso é desenvolvido usando Qt, que suporta compilação cruzada para Home windows e macOS. A versão do BeaverTail baseada em Qt é capaz de roubar senhas de navegadores e coletar dados de várias carteiras de criptomoedas.
BeaverTail, além de exfiltrar os dados para um servidor controlado pelo adversário, está equipado para baixar e executar o backdoor InvisibleFerret, que inclui dois componentes próprios –
- Uma carga útil principal que permite a impressão digital do host infectado, controle remoto, keylogging, exfiltração de dados e obtain do AnyDesk
- Um ladrão de navegador que coleta credenciais do navegador e informações de cartão de crédito
“Os atores norte-coreanos são conhecidos por cometerem crimes financeiros em troca de fundos para apoiar o regime da RPDC”, disse a Unidade 42. “Esta campanha pode ser motivada financeiramente, uma vez que o malware BeaverTail tem a capacidade de roubar 13 carteiras de criptomoedas diferentes.”