Os agentes de ameaças por trás de uma campanha de malware em andamento visando desenvolvedores de software program demonstraram novos malwares e táticas, expandindo seu foco para incluir sistemas Home windows, Linux e macOS.
O cluster de atividades, denominado DEV#POPPER e vinculado à Coreia do Norte, identificou vítimas na Coreia do Sul, América do Norte, Europa e Oriente Médio.
“Essa forma de ataque é uma forma avançada de engenharia social, projetada para manipular indivíduos para que divulguem informações confidenciais ou realizem ações que normalmente não realizariam”, disseram os pesquisadores da Securonix, Den Iuzvyk e Tim Peck, em um novo relatório compartilhado com o The Hacker Information.
DEV#POPPER é o apelido atribuído a uma campanha de malware ativa que engana desenvolvedores de software program para baixar software program com armadilha hospedado no GitHub sob o pretexto de uma entrevista de emprego. Ele compartilha sobreposições com uma campanha rastreada pela Palo Alto Networks Unit 42 sob o nome Contagious Interview.
Sinais de que a campanha period mais ampla e multiplataforma surgiram no início deste mês, quando pesquisadores descobriram artefatos direcionados ao Home windows e ao macOS que entregavam uma versão atualizada de um malware chamado BeaverTail.
 |
| Fonte da imagem: Palo Alto Networks Unidade 42 |
O documento da cadeia de ataque da Securonix é mais ou menos consistente, pois os agentes da ameaça se apresentam como entrevistadores para uma vaga de desenvolvedor e pedem que os candidatos baixem um arquivo ZIP para uma tarefa de codificação.
Presente com o arquivo está um módulo npm que, uma vez instalado, aciona a execução de um JavaScript ofuscado (ou seja, BeaverTail) que determina o sistema operacional no qual está sendo executado e estabelece contato com um servidor remoto para extrair dados de interesse.
Ele também é capaz de baixar cargas úteis de próximo estágio, incluindo um backdoor Python chamado InvisibleFerret, que foi projetado para coletar metadados detalhados do sistema, acessar cookies armazenados em navegadores da net, executar comandos, carregar/baixar arquivos, bem como registrar pressionamentos de tecla e conteúdo da área de transferência.
Novos recursos adicionados aos exemplos recentes incluem o uso de ofuscação aprimorada, software program de monitoramento e gerenciamento remoto (RMM) AnyDesk para persistência e melhorias no mecanismo de FTP empregado para exfiltração de dados.
Além disso, o script Python atua como um canal para executar um script auxiliar que é responsável por roubar informações confidenciais de vários navegadores da net – Google Chrome, Opera e Courageous – em diferentes sistemas operacionais.
“Esta extensão sofisticada da campanha unique DEV#POPPER continua a utilizar scripts Python para executar um ataque em vários estágios focado em extrair informações confidenciais das vítimas, embora agora com recursos muito mais robustos”, disseram os pesquisadores.
As descobertas foram divulgadas no momento em que a Recorded Future revelou que os norte-coreanos continuaram a usar tecnologia estrangeira – como dispositivos Apple, Samsung, Huawei e Xiaomi, bem como várias plataformas de mídia social como Fb, X, Instagram, WeChat, LINE e QQ – para acessar a web, apesar das pesadas sanções.
Outra mudança significativa no comportamento do usuário da web diz respeito ao uso de redes privadas virtuais (VPNs) e proxies para driblar a censura e a vigilância, além da utilização de software program antivírus da McAfee, indicando que o país não é tão isolado quanto parece.
“Apesar das sanções, a Coreia do Norte continua a importar tecnologia estrangeira, frequentemente por meio de suas relações comerciais com a China e a Rússia”, disse a empresa. “Isso marca uma mudança em direção a uma maior conscientização sobre segurança operacional entre usuários que buscam evitar a detecção pelo regime.”
