Se ha observado que actores de amenazas con vínculos con Corea del Norte apuntan a solicitantes de empleo en la industria tecnológica para entregar versiones actualizadas de familias de malware conocidas como BeaverTail e InvisibleFerret.

“Entrevista Contagiosa”, que fue descubierta por primera vez por Palo Alto Networks Unit 42 en noviembre de 2023.

“El grupo de amenazas detrás de CL-STA-0240 contacta a desarrolladores de software a través de plataformas de empleo, haciéndose pasar por empleadores potenciales”, señaló Unit 42 en un informe reciente.

“Los atacantes invitan a las víctimas a participar en una entrevista virtual, durante la cual intentan convencerlas de que descarguen e instalen malware”, añadieron.

La primera fase de la infección implica el malware BeaverTail, que roba información y está diseñado para atacar sistemas Windows y macOS. Este programa sirve como canal para la instalación de la puerta trasera InvisibleFerret, basada en Python.

Hay indicios de que la campaña sigue activa a pesar de haber sido expuesta, lo que sugiere que los atacantes continúan teniendo éxito al engañar a los desarrolladores para que ejecuten código malicioso bajo la fachada de una tarea de programación.

El investigador de seguridad Patrick Wardle y la empresa de ciberseguridad Group-IB, en dos informes recientes, describieron una cadena de ataques que explotó aplicaciones falsas de videoconferencia para Windows y macOS, disfrazadas como MiroTalk y FreeConference.com, para comprometer los sistemas de los desarrolladores con BeaverTail e InvisibleFerret.

Lo que destaca es que la aplicación falsa fue desarrollada utilizando Qt, una plataforma que permite la compilación cruzada tanto para Windows como para macOS. La versión de BeaverTail basada en Qt puede robar contraseñas de navegadores y recopilar información de diversas billeteras de criptomonedas.

Además de exfiltrar datos hacia un servidor controlado por los atacantes, BeaverTail está diseñado para descargar y ejecutar la puerta trasera InvisibleFerret, que consta de dos componentes:

Una carga útil principal que permite la toma de huellas digitales del sistema infectado, el control remoto, el registro de teclas, la extracción de datos y la instalación de AnyDesk. Un ladrón de navegadores que recoge credenciales del navegador e información de tarjetas de crédito.

“Se ha documentado que los actores de amenazas norcoreanos cometen crímenes financieros para financiar al régimen de la RPDC”, indicó Unit 42. “Es posible que esta campaña tenga motivaciones económicas, ya que BeaverTail tiene la capacidad de robar datos de 13 billeteras de criptomonedas diferentes”.

Fuente: thehackernews.com