Agentes de ameaça com vínculos com a Coreia do Norte têm sido observados mirando em candidatos a emprego no setor de tecnologia para entregar versões atualizadas de famílias de malware conhecidas, rastreadas como BeaverTail e InvisibleFerret.
O cluster de atividade, rastreado como CL-STA-0240, faz parte de uma campanha denominada Contagious Interview, que a Palo Alto Networks Unit 42 divulgou pela primeira vez em novembro de 2023.
"O ator de ameaça por trás do CL-STA-0240 contata desenvolvedores de software através de plataformas de busca de emprego, posando como um possível empregador," disse a Unit 42 em um novo relatório.
Os atacantes convidam a vítima para participar de uma entrevista online, onde tentam convencer a vítima a baixar e instalar malware.
A primeira fase da infecção envolve o downloader e ladrão de informações BeaverTail, projetado para atingir tanto as plataformas Windows quanto Apple macOS.
O malware age como um conduto para o backdoor baseado em Python, InvisibleFerret.
Há evidências que sugerem que a atividade permanece ativa apesar da divulgação pública, indicando que os atores de ameaça por trás da operação continuam a ter sucesso atraindo desenvolvedores para executar código malicioso sob o pretexto de um teste de codificação.
O pesquisador de segurança Patrick Wardle e a empresa de cibersegurança Group-IB, em duas análises independentes, detalharam uma cadeia de ataque que aproveitou aplicativos falsos de videoconferência para Windows e macOS, imitando MiroTalk e FreeConference.com, para infiltrar sistemas de desenvolvedores com BeaverTail e InvisibleFerret.
"O modus operandi geral da campanha CL-STA-0240 Contagious Interview permaneceu inalterado, provavelmente devido à eficácia contínua de sua abordagem," disse Assaf Dahan, diretor de pesquisa de ameaças na Unit 42.
Embora a campanha tenha sido publicamente relatada e analisada, técnicas de engenharia social — como a imitação de recrutadores — tendem a ser altamente eficazes, especialmente ao mirar indivíduos que desconhecem tais ameaças ou podem ignorar práticas básicas de segurança durante a busca por emprego.
Ao explorar a confiança e a urgência em ambientes profissionais, esses atacantes criaram um método confiável de ganhar acesso aos dispositivos das vítimas.
O que torna a última iteração notável é que o aplicativo falso é desenvolvido usando Qt, que suporta a cross-compilation tanto para Windows quanto para macOS.
A versão baseada em Qt do BeaverTail é capaz de roubar senhas de navegadores e colher dados de várias carteiras de criptomoedas.
"Outro fator [por trás da falta de mudanças táticas na campanha] pode ser a introdução de uma nova versão de seu malware (BeaverTail, agora escrito no framework Qt) menos suspeita e mais evasiva, que mira tanto em plataformas macOS quanto Windows," disse Dahan.
Isso permite que o mesmo método de ataque (entrevistas de emprego falsas e imitação de recrutadores) seja usado em uma gama mais ampla de vítimas e dispositivos, sem necessidade significativa de alterar a mecânica operacional da campanha.
BeaverTail, além de exfiltrar os dados para um servidor controlado por adversários, está equipado para baixar e executar o backdoor InvisibleFerret, que inclui dois componentes próprios -
Um payload principal que possibilita o fingerprinting do host infectado, controle remoto, keylogging, exfiltração de dados e download do AnyDesk.
Um ladrão de navegador que coleta credenciais de navegador e informações de cartões de crédito
"Atores de ameaça norte-coreanos são conhecidos por conduzirem crimes financeiros para fundos de suporte ao regime da DPRK," disse a Unit 42.
Esta campanha pode ser motivada financeiramente, já que o malware BeaverTail tem a capacidade de roubar 13 carteiras de criptomoeda diferentes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...