Se dice que el actor de amenaza vinculado a Corea del Finalidad conocido como escorruador estaba detrás de una utensilio de vigilancia de Android nunca ayer olfato citación Kospy dirigido a usuarios coreanos e ingleses.
Lookout, que compartió detalles de la campaña de malware, dijo que las primeras versiones se remontan a marzo de 2022. Las muestras más recientes fueron marcadas en marzo de 2024. No está claro qué tan exitosos fueron estos esfuerzos.
“Kospy puede compilar datos extensos, como mensajes SMS, registros de llamadas, ubicación, archivos, audio y capturas de pantalla a través de complementos cargados dinámicamente”, dijo la compañía en un exploración.
Los artefactos maliciosos se basan en aplicaciones de servicios públicos en la tienda oficial de Google Play, utilizando el administrador de archivos de nombres, el administrador de teléfonos, el administrador inteligente, la utilidad de modernización de software y la seguridad de Kakao para engañar a los usuarios desprevenidos para que infecten sus propios dispositivos.
Todas las aplicaciones identificadas ofrecen la funcionalidad prometida para evitar elevar sospechas mientras implementan sigilosamente componentes relacionados con el spyware en segundo plano. Desde entonces, las aplicaciones han sido eliminadas del mercado de aplicaciones.
Scarcruft, todavía llamado APT27 y Reaper, es un clase cibernético de espionaje patrocinado por el estado de Corea del Finalidad activo desde 2012. Los cadenas de ataque orquestados por el clase aprovechan principalmente a Rokrat como un medio para cosechar datos confidenciales de los sistemas de Windows. Rokrat se ha adaptado desde entonces a MacOS y Android de Target.
Las aplicaciones de Android maliciosas, una vez instaladas, están diseñadas para contactar a una saco de datos de la aglomeración Firebase Firestore para recuperar una configuración que contiene la dirección del servidor de comando y control (C2) auténtico.
Al utilizar un servicio legal como Firestore como resolución de caída de Dead, el enfoque C2 de dos etapas ofrece flexibilidad y resistor, lo que permite al actor de amenaza cambiar la dirección C2 en cualquier momento y actuar sin ser detectados.
“Posteriormente de recuperar la dirección C2, Kospy asegura que el dispositivo no sea un émulo y que la plazo presente haya pasado la plazo de activación codificada”, dijo Lookout. “Esta comprobación de plazo de activación asegura que el spyware no revele su intención maliciosa prematuramente”.
Kospy es capaz de descargar complementos adicionales, así como configuraciones para cumplir con sus objetivos de vigilancia. La naturaleza exacta del complemento sigue siendo desconocida ya que los servidores C2 ya no están activos o no responden a las solicitudes del cliente.
El malware está diseñado para compilar una amplia grado de datos del dispositivo comprometido, incluidos mensajes SMS, registros de llamadas, ubicación del dispositivo, archivos en almacenamiento tópico, capturas de pantalla, pulsaciones de teclas, información de red Wi-Fi y la repertorio de aplicaciones instaladas. Incluso está equipado para esculpir audio y tomar fotos.
Lookout dijo que identificó las superposiciones de infraestructura entre la campaña de Kospy y las previamente vinculadas a otro clase de piratería norcoreano llamado Kimsuky (todavía conocido como APT43).
La entrevista contagiosa se manifiesta como paquetes NPM
La divulgación se produce cuando Socket descubrió un conjunto de seis paquetes de NPM que están diseñados para implementar un malware conocido de robo de información llamado Beaverail, que está vinculado a una campaña de Corea del Finalidad en curso rastreada como una entrevista contagiosa. La repertorio de paquetes ahora recogidos está a continuación –
- Validador de Buffer
- Yoojae-validator
- empaquetamiento de eventos
- validador de matriz
- dependencia de reacción-dependencia
- autenticador
Los paquetes están diseñados para compilar detalles del entorno del sistema, así como credenciales almacenadas en navegadores web como Google Chrome, Brave y Mozilla Firefox. Incluso se dirige a las billeteras de criptomonedas, extrayendo Id.json de Solana y Exodus.wallet de Exodus.
“Los seis nuevos paquetes, descargados colectivamente más de 330 veces, imitan de cerca los nombres de bibliotecas ampliamente confiables, empleando una conocida táctica tipográfica utilizada por los actores de amenaza vinculados a Lázaro para engañar a los desarrolladores”, dijo el investigador de socket Kirill Boychenko.
“Por otra parte, el clase APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, prestando una apariencia de licitud de código franco y aumentando la probabilidad de que el código nocivo se integre en los flujos de trabajo de los desarrolladores”.
La campaña de Corea del Finalidad utiliza Rustdoor y Koi Stealer
Los hallazgos todavía siguen el descubrimiento de una nueva campaña que se ha antagónico dirigida al sector de criptomonedas con un malware MacOS basado en óxido llamado Rustdoor (todavía conocido como Thiefbucket) y una variable de macOS previamente indocumentada de una grupo de malware conocida como Koi Stealer.
Palo Stop Networks Unit 42 dijo que las características de los atacantes tienen similitudes con la entrevista contagiosa, y que está evaluando con confianza media que la actividad se llevó a angla en nombre del régimen de Corea del Finalidad.
Específicamente, la esclavitud de ataque implica el uso de un tesina de entrevista de trabajo hipócrita que, cuando se ejecuta a través de Microsoft Visual Studio, intenta descargar y ejecutar Rustdoor. El malware luego procede a robar contraseñas de la extensión de Google Chrome de LastPass, exfiltrate los datos a un servidor foráneo y descargue dos scripts bash adicionales para brindar un shell inverso.
La etapa final de la infección implica la recuperación y ejecución de otra carga útil, una lectura de MacOS de Koi Stealer que se hace acaecer por Visual Studio a engañar a las víctimas para que ingresen la contraseña de su sistema, lo que le permite reunir y exfiltrar datos de la máquina.
“Esta campaña destaca los riesgos que se enfrentan las organizaciones en todo el mundo de los elaborados ataques de ingeniería social diseñados para infiltrarse en redes y robar datos confidenciales y criptomonedas”, dijeron los investigadores de seguridad Adva Gabay y Daniel Frank. “Estos riesgos se magnifican cuando el perpetrador es un actor de amenaza de estado-nación, en comparación con un cibercrimen de motivación puramente financiera”.
