La Corea del Norte vinculada Grupo de Lázaro se ha vinculado a una campaña activa que aprovecha las ofertas de trabajo falsas de LinkedIn en los sectores de criptomonedas y viajes para entregar malware capaz de infectar Windows, MacOS y sistemas operativos Linux.
Según la compañía de ciberseguridad Bitdefender, la estafa comienza con un mensaje enviado en una red profesional de redes sociales, atrayéndolos con la promesa de trabajo remoto, flexibilidad a tiempo parcial y buen pago.
«Una vez que el objetivo expresa interés, se desarrolla el ‘proceso de contratación’, con el estafador solicitando un CV o incluso un enlace de repositorio personal de GitHub», dijo la firma rumana en un informe compartido con Hacker News.
«Aunque aparentemente inocentes, estas solicitudes pueden servir a fines nefastos, como cosechar datos personales o prestar una apariencia de legitimidad a la interacción».
Una vez que se obtienen los detalles solicitados, el ataque se traslada a la siguiente etapa donde el actor de amenaza, bajo la apariencia de un reclutador, comparte un enlace a un repositorio de Github o Bitbucket que contiene una versión mínima de producto viable (MVP) de un supuesto intercambio descentralizado ( Dex) proyecto e instruye a la víctima que lo revise y proporcione sus comentarios.
Presente dentro del código hay un script ofuscado que está configurado para recuperar una carga útil de la próxima etapa de API.Npoint (.) IO, un robador de información de JavaScript de plataforma cruzada que es capaz de cosechar datos de varias extensiones de billeteras de criptomonedas que se pueden instalar en los víctimas. navegador.
El robador también se dobla como un cargador para recuperar un trasero basado en Python responsable de monitorear los cambios de contenido del portapapeles, mantener el acceso remoto persistente y dejar caer malware adicional.
En esta etapa, vale la pena señalar que las tácticas documentadas por Bitdefender exhiben superposiciones con un clúster de actividad de ataque conocido denominado entrevista contagiosa (también conocido como DeceptivedEvelopment y Dev#Popper), que está diseñado para soltar un robador de JavaScript llamado Beaaverail y Python Implant referido como invisible Ferretretretretretret de invisible. .
El malware implementado por medio del malware de Python es un binario .NET que puede descargar e iniciar un servidor de proxy TOR para comunicarse con un servidor de comando y control (C2), exfiltrate la información básica del sistema y entrega otra carga útil que, a su vez , puede sifon los datos confidenciales, registrar las teclas de teclas y lanzar un minero de criptomonedas.
«La cadena de infección de la amenaza de los actores es compleja, que contiene software malicioso escrito en múltiples lenguajes de programación y utilizando una variedad de tecnologías, como los scripts de pitón de varias capas que se decursivamente decodifican y se ejecutan a sí mismos, un robador de JavaScript que primero cosecha los datos del navegador antes de cambiar el paso de los datos del navegador antes de cambiar el paso de los datos del navegador antes Otras cargas útiles y los escenarios basados en .NET capaces de deshabilitar las herramientas de seguridad, configurar un proxy TOR y iniciar mineros criptográficos «, dijo Bitdefender.
Hay evidencia que sugiere que estos esfuerzos están bastante extendidos, por informes compartidos en LinkedIn y Reddit, con ajustes menores a la cadena de ataque general. En algunos casos, se les pide a los candidatos que clonen un repositorio de Web3 y lo ejecute localmente como parte de un proceso de entrevista, mientras que en otros se les indica que solucionen errores intencionalmente introducidos en el código.
Uno de los repositorios de Bitbucket en cuestión se refiere a un proyecto llamado «Miketoken_v2». Ya no se puede acceder en la plataforma de alojamiento de código.
La divulgación se produce un día después de que Sentinelone reveló que la campaña de entrevista contagiosa se está utilizando para entregar otro malware con nombre en código FlexibleFerret.
