Los actores de amenaza de Corea del Boreal detrás del Entrevista contagiosa Se ha observado una campaña utilizando versiones actualizadas de un malware multiplataforma llamado OtterCookie con capacidades para robar credenciales de los navegadores web y otros archivos.
NTT Security Holdings, que detalló los nuevos hallazgos, dijo que los atacantes han actualizado “activa y continuamente” el malware, introduciendo las versiones V3 y V4 en febrero y abril de 2025, respectivamente.
La compañía japonesa de ciberseguridad está rastreando el clúster bajo el nombre Tapón de aguaque además se conoce como CL-STA-0240, DeceptivedEvelopment, Dev#Popper, famosa Chollima, Purplebravo y Tenacious Pungsan.
Ottercookie fue documentado por primera vez por NTT el año pasado luego de haberlo observado en ataques desde septiembre de 2024. Entregado por medio de una carga útil de JavaScript a través de un paquete Sagaz NPM, un apositorio de github troyanizado o un apositorio de bitbucket, o una aplicación de videoconferencias de videoconferencia de Boqued, está diseñado para contactar a un servidor forastero para ejecutar los comandos de los hosts comprometidos.
Se ha antitético que OtterCookie V3 incorpora un nuevo módulo de carga para dirigir archivos que coinciden con un conjunto predefinido de extensiones al servidor forastero. Esto consiste en variables de entorno, imágenes, documentos, hojas de cálculo, archivos de texto y archivos que contienen frases mnemónicas y de recuperación asociadas con billeteras de criptomonedas.
Vale la pena señalar que este módulo se ejecutó previamente en Ottercookie V2 como un comando shell recibido del servidor.
La cuarta iteración del malware se expande en su predecesor al asociar dos módulos más para robar credenciales de Google Chrome, así como extraer datos de la extensión de Metamask para Google Chrome, Brave Browser e iCloud KeyCain.
Otra nueva característica complemento a OtterCookie V4 es la capacidad de detectar si se ejecuta en entornos de máquina potencial (VM) relacionadas con Broadcom VMware, Oracle Virtualbox, Microsoft y QEMU.
Curiosamente, se ha antitético que el primer módulo de robador responsable de compendiar credenciales de Google Chrome lo hace luego de descifrarlas, mientras que el segundo módulo vendimia datos de inicio de sesión cifrados de navegadores como Chrome y Brave.
“Esta diferencia en el procesamiento de datos o el estilo de codificación implica que estos módulos fueron desarrollados por diferentes desarrolladores”, dijeron los investigadores Masaya Motoda y Rintaro Koike.
La divulgación se produce cuando múltiples cargas de enseres maliciosas relacionadas con la campaña de entrevistas contagiosas se han descubierto en los últimos meses, lo que indica que los actores de amenaza están refinando su modus operandi.
Esto incluye un robador de información basado en GO que se entrega bajo la apariencia de una aggiornamento de compensador Realtek (“Webcam.zip”) que, cuando se abre, ejecuta un script de shell responsable de descargar el robador y divulgar una aplicación MACOS engañosa (“Driverminupdate.app”) diseñada para cosechar la contraseña del sistema de macOS de víctimas.
Se cree que el malware se distribuyó como parte de una interpretación actualizada de la entrevista de ClickFake con nombre en forma de actividad de Sekoia el mes pasado conveniente al uso de señuelos de estilo ClickFix para solucionar problemas de audio y video inexistentes durante una evaluación en recorrido para un proceso de entrevista de trabajo.
“El papel principal del robador es establecer un canal C2 persistente, perfilar el sistema infectado y exfiltrado datos confidenciales”, dijo la división de ciberseguridad de MacPaw, Moonlock. “Logra esto a través de una combinación de inspección del sistema, robo de credenciales y ejecución de comandos remotos”.
Se evalúa que la aplicación driverminupdate es parte de un conjunto más ilustre de aplicaciones maliciosas similares que han sido descubiertas por DMPDUMP, Sentinelone, Enki y Kandji como ChromeUpdateAlert, ChromeUpdate, CameraCcess y DriverEasy.
Una segunda clan de malware nueva conectada a la campaña es el trabajo de ámbito de tsunami, que se entrega como una carga útil de seguimiento a un patio trasero de Python conocido denominado Invisibleferret. Un malware modular basado en .NET, está equipado para robar una amplia abanico de datos de navegadores web y billeteras de criptomonedas.
Incluso incorpora características para registrar las teclas de teclas, compendiar archivos e incluso un componente de botnet que parece estar bajo ampliación temprano, dijo la compañía de seguridad alemana Hisolutions en un noticia publicado a fines del mes pasado.
Se cree que la entrevista contagiosa, por eset, es un nuevo familia de actividades que forma parte del Comunidad de Lazarus, un palpable familia de piratería de Corea del Boreal que tiene una historia histórica de orquestar ataques con motivación de espionaje y financieramente como una forma de avanzar en los objetivos estratégicos y las sanciones internacionales de la nación.
A principios de este año, el colectivo adversario se atribuyó al atraco de miles de millones de dólares de la plataforma de criptomonedas BYBIT.
La amenaza de trabajadores de TI de Corea del Boreal perdura
Los hallazgos se producen cuando la compañía de seguridad cibernética Sophos reveló que los actores de amenaza detrás del esquema de trabajadores de TI fraudulentos de Corea del Boreal, además conocido como Chollima, Tapestry de níquel y Wageme, han comenzado a dirigirse cada vez más a las organizaciones en Europa y Asia, e industrias más allá del sector de la tecnología para apuntalar empleos y canalizar los ingresos a Pyongyang.
“A lo prolongado de la grado previa al empleo, los actores de amenaza a menudo manipulan digitalmente fotos para sus currículums falsificados y perfiles de LinkedIn, y para unirse la historia gremial previa o las reclamaciones de proyectos grupales”, dijo la Pelotón de Amenazas de Contador SecureWorks de la compañía (CTU).
“Comúnmente usan fotos de archivo superpuestas con imágenes reales de sí mismos. Los actores de amenaza además han aumentado el uso de la IA generativa, incluidas las herramientas de escritura, las herramientas de impresión de imágenes y los constructores de currículums”.
Los trabajadores fraudulentos, al obtener un trabajo, además se han antitético utilizando los servicios públicos de mouse Jiggler, el software VPN como Astrill VPN y KVM sobre IP para comunicación remoto, en algunos casos incluso recurriendo a las llamadas de teleobjetivo de ocho horas para compartir pantalla.
La semana pasada, la plataforma de intercambio de criptomonedas Kraken reveló cómo una entrevista de trabajo de rutina para un puesto de ingeniería se convirtió en una operación de casa recoleta de inteligencia luego de ver a un hacker norcoreano que intentaba infiltrarse en la compañía con el nombre de Steven Smith.
“El candidato usó escritorios Mac colocados remotos, pero interactuó con otros componentes a través de una VPN, una configuración comúnmente implementada para ocultar la ubicación y la actividad de la red”, dijo la compañía. “Su currículum estaba vinculado a un perfil de GitHub que contenía una dirección de correo electrónico expuesta en una violación de datos previo”.
“La forma principal del candidato de identificación parecía estar alterada, probablemente utilizando detalles robados en un caso de robo de identidad dos abriles antiguamente”.
Pero en área de recusar la solicitud del candidato directamente, Kraken dijo que sus equipos de seguridad y sustitución “estratégicamente” los avanzaron a través de su proceso de entrevista como para atraparlos pidiéndoles que confirmaran su ubicación, mantengan una identificación emitida por el gobierno y recomiendan algunos restaurantes locales en la ciudad en los que afirmaron estar.
“Pleavado y sorprendido, lucharon con las pruebas de comprobación básicas y no pudieron reponer de forma convincente preguntas en tiempo auténtico sobre su ciudad de residencia o país de ciudadanía”, dijo Kraken. “Al final de la entrevista, la verdad era clara: este no era un solicitante lícito, sino un impostor que intentaba infiltrarse en nuestros sistemas”.
En otro caso documentado por el Área de Rectitud de los Estados Unidos (DOJ) el mes pasado, un hombre de Maryland de 40 abriles, Minh Phuong Ngoc Vong, se declaró culpable de fraude luego de apuntalar un trabajo con un contratista oficial y luego subcontratando el trabajo a un franquista de Corea del Boreal que reside en Shenyang, China, que subscribe la formalidad de la formalidad de la actividad de la reducción de fondos ilícitos.
La capacidad de Corea del Boreal para deslizar sigilosamente a miles de sus trabajadores en las principales empresas, a menudo con la ayuda de facilitadores que dirigen lo que se candela una cortijo de computadoras portátiles, ha llevado a advertencias repetidas de los gobiernos japoneses, surcoreanos, del Reino Unido y los Estados Unidos.
Se ha antitético que estos trabajadores pasan hasta 14 meses internamente de una ordenamiento, y los actores de amenaza además participan en el robo de datos y las amenazas de perturbación luego de la terminación.
“Las organizaciones (deberían) establecer procedimientos de comprobación de identidad mejorados como parte de su proceso de entrevista”, dijo Sophos. “El personal de posibles humanos y los reclutadores deben actualizarse regularmente sobre las tácticas utilizadas en estas campañas para ayudarlos a identificar potenciales trabajadores de TI de Corea del Boreal”.
“Adicionalmente, las organizaciones deben monitorear la actividad tradicional de amenaza interna, el uso sospechoso de herramientas legítimas y alertas de alucinación imposibles para detectar la actividad a menudo asociada con trabajadores fraudulentos”.
