Investigadores de ciberseguridad han descubierto una variante actualizada de un conocido malware ladrón que los atacantes afiliados a la República Popular Democrática de Corea (RPDC) han distribuido como parte de campañas anteriores de espionaje cibernético dirigidas a solicitantes de empleo.
El artefacto en cuestión es un archivo de imagen de disco (DMG) de Apple macOS llamado «MiroTalk.dmg» que imita el servicio de videollamadas legítimo del mismo nombre, pero, en realidad, sirve como conducto para entregar una versión nativa de BeaverTail, dijo el investigador de seguridad Patrick Wardle .
BeaverTail hace referencia a un malware ladrón de JavaScript que fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en noviembre de 2023 como parte de una campaña denominada Contagious Interview que tiene como objetivo infectar a los desarrolladores de software con malware a través de un supuesto proceso de entrevistas de trabajo. Securonix está rastreando la misma actividad bajo el nombre DEV#POPPER .
Además de extraer información confidencial de navegadores web y billeteras de criptomonedas, el malware es capaz de entregar cargas útiles adicionales como InvisibleFerret, una puerta trasera de Python responsable de descargar AnyDesk para acceso remoto persistente.
Si bien BeaverTail se ha distribuido a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los últimos hallazgos marcan un cambio en el vector de distribución.
«Si tuviera que adivinar, los piratas informáticos de la RPDC probablemente se acercaron a sus potenciales víctimas, solicitándoles que se unieran a una reunión de contratación, descargando y ejecutando la (versión infectada de) MiroTalk alojada en mirotalk[.]net», dijo Wardle.
Un análisis del archivo DMG sin firmar revela que facilita el robo de datos de navegadores web como Google Chrome, Brave y Opera, billeteras de criptomonedas y iCloud Keychain. Además, está diseñado para descargar y ejecutar scripts de Python adicionales desde un servidor remoto (es decir, InvisibleFerret).
«Los hackers norcoreanos son astutos y muy hábiles para hackear objetivos macOS, aunque su técnica a menudo se basa en ingeniería social (y por lo tanto, desde un punto de vista técnico, son bastante poco impresionantes)», dijo Wardle.
La revelación se produce cuando Phylum descubrió un nuevo paquete npm malicioso llamado call-blockflow que es prácticamente idéntico al legítimo call-bind pero que incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras realiza esfuerzos minuciosos para pasar desapercibido.
«En este ataque, si bien el paquete call-bind no se ha visto comprometido, el paquete call-blockflow convertido en arma copia toda la confianza y legitimidad del original para reforzar el éxito del ataque», dijo en una declaración compartida con The Hacker News.
El paquete, que se sospecha que es obra del grupo Lazarus, vinculado a Corea del Norte, y que se publicó aproximadamente una hora y media después de haber sido subido a npm, atrajo un total de 18 descargas . La evidencia sugiere que la actividad , que comprende más de tres docenas de paquetes maliciosos, ha estado en marcha en oleadas desde septiembre de 2023.
«Una vez instalados, estos paquetes descargaban un archivo remoto, lo descifraban, ejecutaban una función exportada desde él y luego ocultaban meticulosamente sus rastros eliminando y renombrando los archivos», dijo la empresa de seguridad de la cadena de suministro de software . «Esto dejaba el directorio del paquete en un estado aparentemente benigno después de la instalación».
También sigue un aviso de JPCERT/CC, advirtiendo sobre ataques cibernéticos orquestados por el actor norcoreano Kimsuky dirigidos a organizaciones japonesas.
El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones diplomáticas y de seguridad y contienen un ejecutable malicioso que, al abrirse, conduce a la descarga de un script de Visual Basic (VBS), que, a su vez, recupera un script de PowerShell para recopilar información de cuentas de usuario, sistema y red, así como enumerar archivos y procesos.
Luego, la información recopilada se filtra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que luego se ejecuta para buscar y ejecutar un keylogger basado en PowerShell llamado InfoKey.
«Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky contra organizaciones en Japón, existe la posibilidad de que Japón también esté siendo atacado activamente», dijo JPCERT/CC.
Fuente y redacción: thehackernews.com
