Os atores de ameaça norte-coreanos responsáveis pela campanha Contagious Interview adotaram, mais uma vez, novas táticas, utilizando serviços de armazenamento JSON para hospedar cargas maliciosas.
Segundo um relatório divulgado na quinta-feira pelos pesquisadores da NVISO — Bart Parys, Stef Collart e Efstratios Lontzetidis — os invasores passaram a usar plataformas como JSON Keeper, JSONsilo e npoint.io para armazenar e distribuir malware por meio de projetos de código trojanizado.
O ataque começa com o contato a potenciais vítimas em redes profissionais, como o LinkedIn, sob o pretexto de uma avaliação de emprego ou colaboração em projetos.
Nessa abordagem, a vítima é orientada a baixar um projeto demo hospedado em repositórios populares como GitHub, GitLab ou Bitbucket.
Em um desses projetos identificados pela NVISO, foi descoberto que um arquivo chamado "server/config/.config.env" contém um valor codificado em Base64 que aparenta ser uma chave de API, mas que, na verdade, é um URL para um serviço de armazenamento JSON, onde o payload da próxima etapa está armazenado de forma ofuscada.
O payload em questão é um malware em JavaScript conhecido como BeaverTail, capaz de coletar dados sensíveis e instalar uma backdoor em Python chamada InvisibleFerret.
Embora as funcionalidades dessa backdoor permaneçam basicamente as mesmas desde sua descrição pela Palo Alto Networks, no final de 2023, uma mudança significativa é o download de um payload adicional denominado TsunamiKit, hospedado no Pastebin.
Vale destacar que o uso do TsunamiKit na campanha Contagious Interview já havia sido identificado pela ESET em setembro de 2023.
Na ocasião, os ataques também distribuíam as ferramentas Tropidoor e AkdoorTea.
Esse kit permite a fingerprinting do sistema, coleta de dados e o download de novos payloads a partir de um endereço .onion codificado, atualmente indisponível.
Os pesquisadores concluem que os responsáveis pela Contagious Interview continuam inovando para ampliar seu alcance, mirando desenvolvedores de software que chamem sua atenção, o que resulta na exfiltração de dados sensíveis e informações de carteiras de criptomoedas.
Além disso, o uso de sites legítimos como JSON Keeper, JSONsilo e npoint.io, juntamente com repositórios de código amplamente utilizados, reforça a motivação dos atacantes em operar de forma furtiva, misturando-se ao tráfego normal.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...