La Corea del Septentrión vinculada Asociación de Lázaro se ha vinculado a una campaña activa que aprovecha las ofertas de trabajo falsas de LinkedIn en los sectores de criptomonedas y viajes para entregar malware capaz de infectar Windows, MacOS y sistemas operativos Linux.
Según la compañía de ciberseguridad Bitdefender, la estafa comienza con un mensaje enviado en una red profesional de redes sociales, atrayéndolos con la promesa de trabajo remoto, flexibilidad a tiempo parcial y buen plazo.
“Una vez que el objetivo expresa interés, se desarrolla el ‘proceso de contratación’, con el estafador solicitando un CV o incluso un enlace personal del repositorio de GitHub”, dijo la firma rumana en un referencia compartido con Hacker News.
“Aunque aparentemente inocentes, estas solicitudes pueden servir a fines nefastos, como cosechar datos personales o prestar una apariencia de licitud a la interacción”.
Una vez que se obtienen los detalles solicitados, el ataque se traslada a la futuro etapa donde el actor de amenaza, bajo la apariencia de un reclutador, comparte un enlace a un repositorio de Github o Bitbucket que contiene una lectura mínima de producto viable (MVP) de un supuesto intercambio descentralizado ( Dex) tesina e instruye a la víctima que lo revise y proporcione sus comentarios.
Presente adentro del código hay un script ofuscado que está configurado para recuperar una carga útil de la próxima etapa de API.Npoint (.) IO, un robador de información de JavaScript de plataforma cruzada que es capaz de cosechar datos de varias extensiones de billeteras de criptomonedas que se pueden instalar en los víctimas. navegador.
El robador igualmente se dobla como un cargador para recuperar un trasero basado en Python responsable de monitorear los cambios de contenido del portapapeles, surtir el acercamiento remoto persistente y dejar caer malware adicional.
En esta etapa, vale la pena señalar que las tácticas documentadas por Bitdefender exhiben superposiciones con un clúster de actividad de ataque conocido denominado entrevista contagiosa (igualmente conocido como DeceptivedEvelopment y Dev#Popper), que está diseñado para exhalar un robador de JavaScript llamado Beaverail y Python Implant referido como invisible. .
El malware implementado por medio del malware de Python es un binario .NET que puede descargar e iniciar un servidor de proxy TOR para comunicarse con un servidor de comando y control (C2), exfiltrate la información básica del sistema y entrega otra carga útil que, a su vez, a su vez , puede sifon los datos confidenciales, registrar las teclas de teclas y exhalar un minero de criptomonedas.
“La sujeción de infección de la amenaza de los actores es compleja, que contiene software receloso escrito en múltiples lenguajes de programación y utilizando una variedad de tecnologías, como los scripts de pitón de varias capas que se decursivamente decodifican y se ejecutan a sí mismos, un robador de JavaScript que primero cosecha los datos del navegador antaño de cambiar el paso de los datos del navegador antaño de cambiar el paso de los datos del navegador antaño Otras cargas enseres y los escenarios basados en .NET capaces de deshabilitar las herramientas de seguridad, configurar un proxy TOR y iniciar mineros criptográficos “, dijo Bitdefender.
Hay evidencia que sugiere que estos esfuerzos están harto extendidos, por informes compartidos en LinkedIn y Reddit, con ajustes menores a la sujeción de ataque militar. En algunos casos, se les pide a los candidatos que clonen un repositorio de Web3 y lo ejecute localmente como parte de un proceso de entrevista, mientras que en otros se les indica que solucionen errores intencionalmente introducidos en el código.
Uno de los repositorios de Bitbucket en cuestión se refiere a un tesina llamado “Miketoken_v2”. Ya no se puede entrar en la plataforma de alojamiento de código.
La divulgación se produce un día posteriormente de que Sentinelone reveló que la campaña de entrevista contagiosa se está utilizando para entregar otro malware con nombre en código FlexibleFerret.
