Los actores de amenaza de Corea del Norte detr谩s del Entrevista contagiosa Se ha observado una campa帽a utilizando versiones actualizadas de un malware multiplataforma llamado OtterCookie con capacidades para robar credenciales de los navegadores web y otros archivos.
NTT Security Holdings, que detall贸 los nuevos hallazgos, dijo que los atacantes han actualizado 芦activa y continuamente禄 el malware, introduciendo las versiones V3 y V4 en febrero y abril de 2025, respectivamente.
La compa帽铆a japonesa de ciberseguridad est谩 rastreando el cl煤ster bajo el nombre Tap贸n de aguaque tambi茅n se conoce como CL-STA-0240, DeceptivedEvelopment, Dev#Popper, famosa Chollima, Purplebravo y Tenacious Pungsan.
Ottercookie fue documentado por primera vez por NTT el a帽o pasado despu茅s de haberlo observado en ataques desde septiembre de 2024. Entregado por medio de una carga 煤til de JavaScript a trav茅s de un paquete Malicioso NPM, un apositorio de github troyanizado o un apositorio de bitbucket, o una aplicaci贸n de videoconferencias de videoconferencia de Boqued, est谩 dise帽ado para contactar a un servidor externo para ejecutar los comandos de los hosts comprometidos.
Se ha encontrado que OtterCookie V3 incorpora un nuevo m贸dulo de carga para enviar archivos que coinciden con un conjunto predefinido de extensiones al servidor externo. Esto consiste en variables de entorno, im谩genes, documentos, hojas de c谩lculo, archivos de texto y archivos que contienen frases mnem贸nicas y de recuperaci贸n asociadas con billeteras de criptomonedas.
Vale la pena se帽alar que este m贸dulo se ejecut贸 previamente en Ottercookie V2 como un comando shell recibido del servidor.
La cuarta iteraci贸n del malware se expande en su predecesor al agregar dos m贸dulos m谩s para robar credenciales de Google Chrome, as铆 como extraer datos de la extensi贸n de Metamask para Google Chrome, Brave Browser e iCloud KeyCain.
Otra nueva caracter铆stica adici贸n a OtterCookie V4 es la capacidad de detectar si se ejecuta en entornos de m谩quina virtual (VM) relacionadas con Broadcom VMware, Oracle Virtualbox, Microsoft y QEMU.
Curiosamente, se ha encontrado que el primer m贸dulo de robador responsable de recopilar credenciales de Google Chrome lo hace despu茅s de descifrarlas, mientras que el segundo m贸dulo recolecta datos de inicio de sesi贸n cifrados de navegadores como Chrome y Brave.
芦Esta diferencia en el procesamiento de datos o el estilo de codificaci贸n implica que estos m贸dulos fueron desarrollados por diferentes desarrolladores禄, dijeron los investigadores Masaya Motoda y Rintaro Koike.
La divulgaci贸n se produce cuando m煤ltiples cargas de 煤tiles maliciosas relacionadas con la campa帽a de entrevistas contagiosas se han descubierto en los 煤ltimos meses, lo que indica que los actores de amenaza est谩n refinando su modus operandi.
Esto incluye un robador de informaci贸n basado en GO que se entrega bajo la apariencia de una actualizaci贸n de controlador Realtek (芦Webcam.zip禄) que, cuando se abre, ejecuta un script de shell responsable de descargar el robador y lanzar una aplicaci贸n MACOS enga帽osa (芦Driverminupdate.app禄) dise帽ada para cosechar la contrase帽a del sistema de macOS de v铆ctimas.
Se cree que el malware se distribuy贸 como parte de una versi贸n actualizada de la entrevista de ClickFake con nombre en forma de actividad de Sekoia el mes pasado debido al uso de se帽uelos de estilo ClickFix para solucionar problemas de audio y video inexistentes durante una evaluaci贸n en l铆nea para un proceso de entrevista de trabajo.
芦El papel principal del robador es establecer un canal C2 persistente, perfilar el sistema infectado y exfiltrado datos confidenciales禄, dijo la divisi贸n de ciberseguridad de MacPaw, Moonlock. 芦Logra esto a trav茅s de una combinaci贸n de reconocimiento del sistema, robo de credenciales y ejecuci贸n de comandos remotos禄.
Se eval煤a que la aplicaci贸n driverminupdate es parte de un conjunto m谩s grande de aplicaciones maliciosas similares que han sido descubiertas por DMPDUMP, Sentinelone, Enki y Kandji como ChromeUpdateAlert, ChromeUpdate, CameraCcess y DriverEasy.
Una segunda familia de malware nueva conectada a la campa帽a es el trabajo de marco de tsunami, que se entrega como una carga 煤til de seguimiento a un patio trasero de Python conocido denominado Invisibleferret. Un malware modular basado en .NET, est谩 equipado para robar una amplia gama de datos de navegadores web y billeteras de criptomonedas.
Tambi茅n incorpora caracter铆sticas para registrar las teclas de teclas, recopilar archivos e incluso un componente de botnet que parece estar bajo desarrollo temprano, dijo la compa帽铆a de seguridad alemana Hisolutions en un informe publicado a fines del mes pasado.
Se cree que la entrevista contagiosa, por eset, es un nuevo grupo de actividades que forma parte del Grupo de Lazarus, un notorio grupo de pirater铆a de Corea del Norte que tiene una historia hist贸rica de orquestar ataques con motivaci贸n de espionaje y financieramente como una forma de avanzar en los objetivos estrat茅gicos y las sanciones internacionales de la naci贸n.
A principios de este a帽o, el colectivo adversario se atribuy贸 al atraco de miles de millones de d贸lares de la plataforma de criptomonedas BYBIT.
La amenaza de trabajadores de TI de Corea del Norte perdura
Los hallazgos se producen cuando la compa帽铆a de seguridad cibern茅tica Sophos revel贸 que los actores de amenaza detr谩s del esquema de trabajadores de TI fraudulentos de Corea del Norte, tambi茅n conocido como Chollima, Tapestry de n铆quel y Wageme, han comenzado a dirigirse cada vez m谩s a las organizaciones en Europa y Asia, e industrias m谩s all谩 del sector de la tecnolog铆a para asegurar empleos y canalizar los ingresos a Pyongyang.
芦A lo largo de la fase previa al empleo, los actores de amenaza a menudo manipulan digitalmente fotos para sus curr铆culums falsificados y perfiles de LinkedIn, y para acompa帽ar la historia laboral previa o las reclamaciones de proyectos grupales禄, dijo la Unidad de Amenazas de Contador SecureWorks de la compa帽铆a (CTU).
芦Com煤nmente usan fotos de archivo superpuestas con im谩genes reales de s铆 mismos. Los actores de amenaza tambi茅n han aumentado el uso de la IA generativa, incluidas las herramientas de escritura, las herramientas de edici贸n de im谩genes y los constructores de curr铆culums禄.
Los trabajadores fraudulentos, al obtener un trabajo, tambi茅n se han encontrado utilizando los servicios p煤blicos de mouse Jiggler, el software VPN como Astrill VPN y KVM sobre IP para acceso remoto, en algunos casos incluso recurriendo a las llamadas de zoom de ocho horas para compartir pantalla.
La semana pasada, la plataforma de intercambio de criptomonedas Kraken revel贸 c贸mo una entrevista de trabajo de rutina para un puesto de ingenier铆a se convirti贸 en una operaci贸n de recolecci贸n de inteligencia despu茅s de ver a un hacker norcoreano que intentaba infiltrarse en la compa帽铆a con el nombre de Steven Smith.
芦El candidato us贸 escritorios Mac colocados remotos, pero interactu贸 con otros componentes a trav茅s de una VPN, una configuraci贸n com煤nmente implementada para ocultar la ubicaci贸n y la actividad de la red禄, dijo la compa帽铆a. 芦Su curr铆culum estaba vinculado a un perfil de GitHub que conten铆a una direcci贸n de correo electr贸nico expuesta en una violaci贸n de datos anterior禄.
芦La forma principal del candidato de identificaci贸n parec铆a estar alterada, probablemente utilizando detalles robados en un caso de robo de identidad dos a帽os antes禄.
Pero en lugar de rechazar la solicitud del candidato directamente, Kraken dijo que sus equipos de seguridad y reclutamiento 芦estrat茅gicamente禄 los avanzaron a trav茅s de su proceso de entrevista como para atraparlos pidi茅ndoles que confirmaran su ubicaci贸n, mantengan una identificaci贸n emitida por el gobierno y recomiendan algunos restaurantes locales en la ciudad en los que afirmaron estar.
芦Pleavado y sorprendido, lucharon con las pruebas de verificaci贸n b谩sicas y no pudieron responder de manera convincente preguntas en tiempo real sobre su ciudad de residencia o pa铆s de ciudadan铆a禄, dijo Kraken. 芦Al final de la entrevista, la verdad era clara: este no era un solicitante leg铆timo, sino un impostor que intentaba infiltrarse en nuestros sistemas禄.
En otro caso documentado por el Departamento de Justicia de los Estados Unidos (DOJ) el mes pasado, un hombre de Maryland de 40 a帽os, Minh Phuong Ngoc Vong, se declar贸 culpable de fraude despu茅s de asegurar un trabajo con un contratista gubernamental y luego subcontratando el trabajo a un nacional de Corea del Norte que reside en Shenyang, China, que subscribe la gravedad de la gravedad de la actividad de la reducci贸n de fondos il铆citos.
La capacidad de Corea del Norte para deslizar sigilosamente a miles de sus trabajadores en las principales empresas, a menudo con la ayuda de facilitadores que dirigen lo que se llama una granja de computadoras port谩tiles, ha llevado a advertencias repetidas de los gobiernos japoneses, surcoreanos, del Reino Unido y los Estados Unidos.
Se ha encontrado que estos trabajadores pasan hasta 14 meses dentro de una organizaci贸n, y los actores de amenaza tambi茅n participan en el robo de datos y las amenazas de extorsi贸n despu茅s de la terminaci贸n.
芦Las organizaciones (deber铆an) establecer procedimientos de verificaci贸n de identidad mejorados como parte de su proceso de entrevista禄, dijo Sophos. 芦El personal de recursos humanos y los reclutadores deben actualizarse regularmente sobre las t谩cticas utilizadas en estas campa帽as para ayudarlos a identificar potenciales trabajadores de TI de Corea del Norte禄.
芦Adem谩s, las organizaciones deben monitorear la actividad tradicional de amenaza interna, el uso sospechoso de herramientas leg铆timas y alertas de viaje imposibles para detectar la actividad a menudo asociada con trabajadores fraudulentos禄.
