17 de julio de 2024Sala de prensaEspionaje cibernético / Criptomonedas Los investigadores de ciberseguridad han descubierto una variante actualizada de un conocido malware ladrón que los atacantes afiliados a la República Popular Democrática de Corea (RPDC) han distribuido como parte de campañas de ciberespionaje anteriores dirigidas a solicitantes de empleo. El artefacto en cuestión es un archivo de imagen de disco (DMG) de Apple macOS llamado «MiroTalk.dmg» que imita el servicio legítimo de videollamadas del mismo nombre, pero, en realidad, sirve como conducto para entregar una versión nativa de BeaverTail, dijo el investigador de seguridad Patrick Wardle. BeaverTail se refiere a un malware ladrón de JavaScript que fue documentado por primera vez por Palo Alto Networks Unit 42 en noviembre de 2023 como parte de una campaña denominada Contagious Interview que tiene como objetivo infectar a los desarrolladores de software con malware a través de un supuesto proceso de entrevista de trabajo. Securonix está rastreando la misma actividad bajo el nombre de DEV#POPPER. Además de extraer información confidencial de los navegadores web y las billeteras de criptomonedas, el malware es capaz de entregar cargas útiles adicionales como InvisibleFerret, una puerta trasera de Python que es responsable de descargar AnyDesk para acceso remoto persistente. Si bien BeaverTail se ha distribuido a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los últimos hallazgos marcan un cambio en el vector de distribución. «Si tuviera que adivinar, los piratas informáticos de la RPDC probablemente se acercaron a sus víctimas potenciales, solicitándoles que se unieran a una reunión de contratación, descargando y ejecutando la versión infectada de MiroTalk alojada en mirotalk[.]»net», dijo Wardle. Un análisis del archivo DMG sin firmar revela que facilita el robo de datos de navegadores web como Google Chrome, Brave y Opera, billeteras de criptomonedas y iCloud Keychain. Además, está diseñado para descargar y ejecutar scripts de Python adicionales desde un servidor remoto (es decir, InvisibleFerret). «Los piratas informáticos norcoreanos son un grupo astuto y son bastante hábiles para piratear objetivos de macOS, aunque su técnica a menudo se basa en la ingeniería social (y, por lo tanto, desde un punto de vista técnico, son bastante poco impresionantes)», dijo Wardle. La revelación se produce cuando Phylum descubrió un nuevo paquete npm malicioso llamado call-blockflow que es prácticamente idéntico al call-bind legítimo, pero incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras realiza esfuerzos minuciosos para pasar desapercibido. «En este ataque, si bien el paquete call-bind no se ha visto comprometido, el paquete call-blockflow armado copia toda la confianza y legitimidad del original para reforzar el éxito del ataque», dijo en una declaración compartida con The Hacker.Noticias. El paquete, que se sospecha que es obra del grupo Lazarus, vinculado a Corea del Norte, y que se publicó aproximadamente una hora y media después de haber sido subido a npm, atrajo un total de 18 descargas. Las pruebas sugieren que la actividad, que comprende más de tres docenas de paquetes maliciosos, se ha estado llevando a cabo en oleadas desde septiembre de 2023. «Estos paquetes, una vez instalados, descargaban un archivo remoto, lo descifraban, ejecutaban una función exportada desde él y luego cubrían meticulosamente sus huellas eliminando y renombrando los archivos», dijo la empresa de seguridad de la cadena de suministro de software. «Esto dejó el directorio del paquete en un estado aparentemente benigno después de la instalación». También sigue a un aviso de JPCERT/CC, que advierte sobre ciberataques orquestados por el actor norcoreano Kimsuky dirigidos a organizaciones japonesas. El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones diplomáticas y de seguridad, y que contienen un ejecutable malicioso que, al abrirse, lleva a la descarga de un Visual Basic Script (VBS), que, a su vez, recupera un script de PowerShell para recopilar información de la cuenta de usuario, del sistema y de la red, así como para enumerar archivos y procesos. La información recopilada se filtra a continuación a un servidor de comando y control (C2), que responde con un segundo archivo VBS que se ejecuta para obtener y ejecutar un keylogger basado en PowerShell llamado InfoKey. «Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky dirigidas a organizaciones en Japón, existe la posibilidad de que Japón también esté siendo atacado activamente», dijo JPCERT/CC. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.