Os agentes de ameaças por trás de uma campanha de malware em andamento, que tem como alvo desenvolvedores de software, demonstraram novos malwares e táticas, expandindo seu foco para incluir sistemas Windows, Linux e macOS.
O cluster de atividades, chamado de DEV#POPPER e ligado à Coreia do Norte, foi identificado por visar vítimas na Coreia do Sul, América do Norte, Europa e Oriente Médio.
"Esta forma de ataque é uma forma avançada de engenharia social, projetada para manipular indivíduos a divulgarem informações confidenciais ou a realizarem ações que normalmente não fariam", disseram os pesquisadores da Securonix, Den Iuzvyk e Tim Peck, em um novo relatório divulgado.
DEV#POPPER é o nome dado a uma campanha de malware ativa que engana desenvolvedores de software a baixarem software armadilhado hospedado no GitHub, sob o pretexto de uma entrevista de emprego.
A campanha tem sobreposições com uma campanha monitorada pela Unit 42 da Palo Alto Networks, sob o nome de Contagious Interview.
Sinais de que a campanha era mais ampla e abrangente em plataforma surgiram no início deste mês, quando pesquisadores descobriram artefatos que visam tanto Windows quanto macOS, que entregaram uma versão atualizada de um malware chamado BeaverTail.
O documento da cadeia de ataque da Securonix é mais ou menos consistente no que diz respeito aos agentes de ameaças se passando por entrevistadores para uma posição de desenvolvedor e incentivando os candidatos a baixar um arquivo ZIP para um teste de codificação.
Junto com o arquivo, está um módulo npm que, uma vez instalado, desencadeia a execução de um JavaScript ofuscado (ou seja, BeaverTail) que determina o sistema operacional em que está sendo executado e estabelece contato com um servidor remoto para exfiltrar dados de interesse.
Também é capaz de baixar payloads de próxima etapa, incluindo um backdoor Python chamado InvisibleFerret, que é projetado para coletar metadados detalhados do sistema, acessar cookies armazenados em navegadores da web, executar comandos, fazer upload/download de arquivos, bem como registrar teclas digitadas e conteúdo da área de transferência.
Novos recursos adicionados às amostras recentes incluem o uso de obfuscação aprimorada, software de monitoramento e gerenciamento remoto AnyDesk para persistência e melhorias no mecanismo FTP empregado para exfiltração de dados.
Além disso, o script Python age como um conduto para executar um script auxiliar responsável por roubar informações sensíveis de vários navegadores da web – Google Chrome, Opera e Brave – em diferentes sistemas operacionais.
"Esta sofisticada extensão da campanha original de DEV#POPPER continua a aproveitar scripts Python para executar um ataque em várias etapas focado na exfiltração de informações sensíveis das vítimas, embora agora com capacidades muito mais robustas", disseram os pesquisadores.
As descobertas surgem enquanto a Recorded Future revelou que os norte-coreanos continuaram a usar tecnologia estrangeira – como dispositivos da Apple, Samsung, Huawei e Xiaomi, bem como várias plataformas de mídia social, como Facebook, X, Instagram, WeChat, LINE e QQ – para acessar a internet apesar das fortes sanções.
Outra mudança significativa no comportamento do usuário da internet diz respeito ao uso de VPNs e proxies para contornar censura e vigilância, juntamente com a utilização de software antivírus da McAfee, indicando que o país não está tão isolado quanto se faz parecer.
"Apesar das sanções, a Coreia do Norte continua a importar tecnologia estrangeira, muitas vezes através de suas relações comerciais com a China e a Rússia", disse a empresa.
Isso marca uma mudança em direção a uma maior consciência da segurança operacional entre os usuários que buscam evitar detecção pelo regime.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...