Los desarrolladores de software independientes son el objetivo de una campaña en curso que aprovecha los señuelos con temas de entrevistas de trabajo para entregar familias de malware multiplataforma conocidas como Beaverail e InvisibleFerret.
La actividad, vinculada a Corea del Ártico, ha sido nombrada en código DeceptedEgramment, que se superpone con clústeres rastreados bajo los nombres de la entrevista contagiosa (además conocida como CL-STA-0240), Dev#Popper, famosa Chollima, Purplebravo y Pungsan tenacious. La campaña ha estado en curso desde al menos a finales de 2023.
“El exposición de la desarrollación de Deceptived se dirige a los desarrolladores de software independientes a través de la phishing de gancho en los sitios de búsqueda de empleo y trabajos independientes, con el objetivo de robar billeteras de criptomonedas e información de inicio de sesión de navegadores y administradores de contraseñas”, dijo la compañía de seguridad cibernética ESET en un mensaje compartido con los Hacker News.
En noviembre de 2024, ESET confirmó a The Hacker News las superposiciones entre el exposición engañado y la entrevista contagiosa, clasificándola como una nueva actividad del agrupación de Lázaro que opera con el objetivo de resistir al robo de criptomonedas.
Las cadenas de ataque se caracterizan por el uso de perfiles de reclutadores falsos en las redes sociales para conmover a posibles objetivos y compartir con ellas bases de código troyanizadas alojadas en GitHub, Gitlab o Bitbucket que implementan traseros bajo el pretexto de un proceso de entrevista de trabajo.
Las iteraciones posteriores de la campaña se han ramificado a otras plataformas de búsqueda de empleo como Upwork, Freelancer.com, trabajamos de forma remota, Espejo de Espejo y Crypto Jobs List. Como se destacó anteriormente, estos desafíos de contratación generalmente implican arreglar errores o asociar nuevas características al esquema relacionado con criptografía.
Por otra parte de la codificación de las pruebas, los proyectos falsos se disfrazan de iniciativas de criptomonedas, juegos con funcionalidad de blockchain y aplicaciones de diversión con características de criptomonedas. La mayoría de las veces, el código ladino está integrado internamente de un componente afectuoso en forma de una sola ruta.
“Por otra parte, se les indica que construyan y ejecuten el esquema para probarlo, que es donde ocurre el compromiso auténtico”, dijo el investigador de seguridad Matěj Havránek. “Los repositorios utilizados generalmente son privados, por lo que se solicita al Vic-M por primera vez que proporcione su identificación de cuenta o dirección de correo electrónico para que se les otorgue paso a ellos, con longevo probabilidad de ocultar la actividad maliciosa de los investigadores”.
Un segundo método utilizado para conquistar un compromiso auténtico tournée en torno a engañar a sus víctimas para que instalaran una plataforma de videoconferencia con malware como Mirotalk o Freeconference.
Mientras que tanto Beaverail como InvisibleFerret vienen con capacidades de robo de información, el primero sirve como descargador para este extremo. Beaverail además viene en dos sabores: una transformación JavaScript que se puede colocar internamente de los proyectos troyanizados y una interpretación nativa creada con la plataforma QT que está disfrazada de software de conferencia.
InvisibleFerret es un malware de pitón modular que recupera y ejecuta tres componentes adicionales:
- abonarque recopila información y actúa como una puerta trasera que es capaz de aceptar comandos remotos de un servidor controlado por el atacante para registrar pulsaciones de teclas, capturar contenido de portapapeles, ejecutar comandos de shell, exfiltrado archivos y datos de unidades montadas, así como instalar el módulo Anydesk y el módulo de navegador y el navegador del módulo de navegador , y recopile información de las extensiones del navegador y los administradores de contraseñas
- metaque es responsable de robar datos de inicio de sesión, datos de enfoque instintivo e información de plazo almacenada en navegadores basados en Chromium como Chrome, Brave, Opera, Yandex y Edge
- ADCque funciona como un mecanismo de persistencia al instalar el software de escritorio remoto de Anydesk
ESET dijo que los objetivos principales de la campaña son desarrolladores de software que trabajan en criptomonedas y proyectos financieros descentralizados en todo el mundo, con concentraciones significativas reportadas en Finlandia, India, Italia, Pakistán, España, Sudáfrica, Rusia, Ucrania y Estados Unidos.
“Los atacantes no distinguen en saco a la ubicación geográfica y tienen como objetivo comprometer a tantas víctimas como sea posible para aumentar la probabilidad de extraer con éxito fondos e información.
Esto además se evidencia en las prácticas de codificación aparentes deficientes adoptadas por los operadores, que van desde una falta para eliminar las notas de exposición hasta las direcciones IP locales utilizadas para el exposición y las pruebas, lo que indica que el conjunto de intrusos no está preocupado por el sigilo.
Vale la pena señalar que el uso de señuelos de entrevistas de trabajo es una táctica clásica adoptada por varios grupos de piratería de Corea del Ártico, la más destacada de la cual es una campaña de larga duración denominada Operation Dream Job.
Por otra parte, hay evidencia que sugiere que los actores de amenaza además están involucrados en el esquema de trabajadores de TI fraudulentos, en el que los ciudadanos norcoreanos solicitan empleos en el extranjero bajo identidades falsas para obtener salarios regulares como una forma de financiar las prioridades del régimen.
“El agrupación de exposición de Deceptived es una añadidura a una gran colección de esquemas de fabricación de caudal empleados por los actores alineados por Corea del Ártico y se ajusta a una tendencia continua de enfoque cambiante del caudal tradicional a las criptomonedas”, dijo Eset.
“Durante nuestra investigación, observamos que pasa de las herramientas y técnicas primitivas a malware más innovador y capaz, así como técnicas más pulidas para atraer a las víctimas y desplegar el malware”.
