Pesquisadores de cibersegurança descobriram uma variante atualizada de um conhecido malware stealer que atacantes afiliados à República Popular Democrática da Coreia (DPRK) entregaram como parte de campanhas anteriores de espionagem cibernética visando pessoas em busca de emprego.
O artefato em questão é um arquivo de imagem de disco Apple macOS (DMG) chamado "MiroTalk.dmg" que imita o serviço legítimo de chamadas de vídeo de mesmo nome, mas, na realidade, serve como um meio para entregar uma versão nativa de BeaverTail, disse o pesquisador de segurança Patrick Wardale.
BeaverTail se refere a um malware stealer em JavaScript que foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em novembro de 2023 como parte de uma campanha chamada Contagious Interview, que tem como objetivo infectar desenvolvedores de software com malware por meio de um suposto processo de entrevista de emprego.
A Securonix está rastreando a mesma atividade sob o codinome DEV#POPPER.
Além de sifonar informações sensíveis de navegadores web e carteiras de criptomoedas, o malware é capaz de entregar payloads adicionais como InvisibleFerret, um backdoor Python responsável por baixar o AnyDesk para acesso remoto persistente.
Enquanto o BeaverTail foi distribuído via pacotes npm falsos hospedados no GitHub e no registro de pacotes npm, as últimas descobertas marcam uma mudança no vetor de distribuição.
"Se eu tivesse que adivinhar, os hackers da DPRK provavelmente abordaram suas vítimas em potencial, solicitando que se juntem a uma reunião de contratação, baixando e executando a versão infectada do MiroTalk hospedado em mirotalk[.]net", disse Wardle.
Uma análise do arquivo DMG não assinado revela que facilita o roubo de dados de carteiras de criptomoedas, iCloud Keychain e navegadores web como Google Chrome, Brave e Opera.
Além disso, está projetado para baixar e executar scripts Python adicionais de um servidor remoto (ou seja, InvisibleFerret).
"Os hackers norte-coreanos são um grupo astuto e são bastante adeptos em hackear alvos macOS, embora sua técnica muitas vezes dependa de engenharia social (e assim, do ponto de vista técnico, são bastante pouco impressionantes)", disse Wardle.
A divulgação ocorre enquanto a Phylum descobriu um novo pacote npm malicioso chamado call-blockflow que é praticamente idêntico à biblioteca legítima call-bind, mas incorpora funcionalidade complexa para baixar um arquivo binário remoto enquanto se esforça ao máximo para passar despercebido.
"Nesse ataque, embora o pacote call-bind não tenha sido comprometido, o pacote armado call-blockflow copia toda a confiança e legitimidade do original para aumentar o sucesso do ataque", disse em uma declaração compartilhada.
O pacote, suspeito de ser obra do grupo Lazarus vinculado à Coreia do Norte e não publicado cerca de uma hora e meia depois de ter sido enviado para o npm, atraiu um total de 18 downloads.
Evidências sugerem que a atividade, compreendendo mais de três dúzias de pacotes maliciosos, está em andamento em ondas desde setembro de 2023.
"Esses pacotes, uma vez instalados, baixariam um arquivo remoto, descriptografariam, executariam uma função exportada dele e, em seguida, cobririam meticulosamente seus rastros excluindo e renomeando arquivos", disse a empresa de segurança da cadeia de suprimentos de software.
"Isso deixou o diretório do pacote em um estado aparentemente benigno após a instalação." Isso também segue um aviso da JPCERT/CC, alertando sobre ataques cibernéticos orquestrados pelo ator norte-coreano Kimsuky visando organizações japonesas.
O processo de infecção começa com mensagens de phishing se passando por organizações de segurança e diplomáticas, e contêm um executável malicioso que, ao ser aberto, leva ao download de um Script Visual Basic (VBS), que, por sua vez, recupera um script PowerShell para colher informações de conta do usuário, sistema e rede, bem como enumerar arquivos e processos.
As informações coletadas são então exfiltradas para um servidor de comando e controle (C2), que responde de volta com um segundo arquivo VBS que é então executado para buscar e executar um keylogger baseado em PowerShell chamado InfoKey.
"Embora tenham sido poucos os relatos de atividades de ataque pelo Kimsuky visando organizações no Japão, há a possibilidade de que o Japão também esteja sendo alvo ativo", disse a JPCERT/CC.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...