Специалисты vpnРоссия выявили обновленную версию известного вредоносного ПО-стилера, которую злоумышленники, связанные с КНДР, используют в рамках кибершпионских кампаний, направленных на людей ищущих работу.
Речь идет о дисковом образе (DMG) для macOS под названием «MiroTalk.dmg», который маскируется под легитимный сервис видеозвонков MiroTalk, но на самом деле служит для доставки нативной версии BeaverTail, сообщил исследователь безопасности Патрик Уордл.
Searching for that Stark IP, there is this result: https://t.co/vP2Vgz9YQA
— MalwareHunterTeam (@malwrhunterteam) July 15, 2024
So it seems the same (North Korean?) actors are using different ways / lures / first stages to get people run the same malware payload / next stages from/using the same C2. And they keep using that same C2… pic.twitter.com/irRHftJ1nu
BeaverTail и его возможности
BeaverTail — это вредоносное ПО на JavaScript, впервые документированное Palo Alto Networks Unit 42 в ноябре 2023 года. Кампания, в рамках которой оно распространяется, получила название Contagious Interview и нацелена на разработчиков ПО через фальшивые собеседования на работу. Securonix отслеживает эту активность под кодовым названием DEV#POPPER.
BeaverTail позволяет похищать конфиденциальную информацию из веб-браузеров и криптовалютных кошельков, а также загружать дополнительные вредоносные компоненты, такие как InvisibleFerret — бэкдор на Python, ответственный за скачивание AnyDesk для постоянного удаленного доступа.
Ранее BeaverTail распространялся через фальшивые пакеты npm, размещенные на GitHub и в реестре npm. Новые данные свидетельствуют о смене вектора распространения. По словам Уордла, вероятно, хакеры КНДР предлагали потенциальным жертвам присоединиться к собеседованию, скачав и запустив зараженную версию MiroTalk, размещенную на сайте mirotalk[.]net.
Анализ неподписанного DMG-файла показал, что он предназначен для кражи данных из криптовалютных кошельков, iCloud Keychain и веб-браузеров, таких как Google Chrome, Brave и Opera. Также он загружает и выполняет дополнительные скрипты на Python с удаленного сервера (InvisibleFerret).
«Северокорейские хакеры — это хитрая группа, которая довольно умело взламывает цели на macOS, хотя их техники часто основываются на социальной инженерии и с технической точки зрения не впечатляют,»
Патрик Уордл
На фоне этих событий Phylum обнаружила новый вредоносный npm-пакет под названием call-blockflow, который практически идентичен легитимной библиотеке call-bind, но включает в себя сложную функциональность для загрузки удаленного бинарного файла, оставаясь незамеченным.
«В этой атаке пакет call-bind не был скомпрометирован, но вредоносный пакет call-blockflow копирует весь доверие и легитимность оригинала, чтобы повысить вероятность успеха атаки,» — говорится в заявлении, представленном The Hacker News.
Этот пакет, предположительно созданный группой Lazarus, связанной с КНДР, был удален через полтора часа после загрузки в npm, набрав в общей сложности 18 скачиваний. Доказательства указывают на то, что эта активность, включающая более трех десятков вредоносных пакетов, продолжается волнами с сентября 2023 года.
Обход защиты
«Эти пакеты, после установки, скачивали удаленный файл, расшифровывали его, выполняли экспортированную функцию из него, а затем тщательно скрывали свои следы, удаляя и переименовывая файлы,» — отметили специалисты по безопасности цепочки поставок ПО. «Это оставляло каталог пакетов в кажущемся безобидном состоянии после установки.»
Вслед за этими событиями JPCERT/CC опубликовала предупреждение о кибератаках, организованных северокорейской группировкой Kimsuky, направленных на японские организации.
Процесс заражения начинается с фишинговых сообщений, имитирующих безопасность и дипломатические организации, и содержит вредоносный исполняемый файл, который при открытии скачивает скрипт на Visual Basic (VBS). Этот скрипт, в свою очередь, загружает PowerShell-скрипт для сбора данных об учетных записях пользователей, системе и сети, а также для перечисления файлов и процессов.
Собранная информация затем передается на сервер управления (C2), который отвечает вторым VBS-скриптом, запускающим кейлоггер на базе PowerShell под названием InfoKey.
«Хотя было немного сообщений об активностях атак Kimsuky на японские организации, существует вероятность, что Япония также активно подвергается атакам,» — отметили в JPCERT/CC.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Пётр Ильин — главный редактор проекта vpnРоссия, эксперт с более чем 10-летним опытом в области кибербезопасности и технологий VPN. Он руководит редакционной командой, обеспечивая высокое качество и объективность обзоров ВПН-сервисов. Петр активно просвещает аудиторию о важности приватности в интернете и безопасности данных, а также разрабатывает образовательные материалы на доступном языке.