Los actores de amenazas norcoreanos han aprovechado una aplicación de videoconferencia de Windows falsa que se hace pasar por FreeConference.com para introducir una puerta trasera en los sistemas de los desarrolladores como parte de una campaña en curso impulsada por fines financieros denominada Contagious Interview. La nueva ola de ataques, detectada por la empresa singapurense Group-IB a mediados de agosto de 2024, es otro indicio de que la actividad también está aprovechando los instaladores nativos de Windows y Apple macOS para distribuir malware. Contagious Interview, también rastreada como DEV#POPPER, es una campaña maliciosa orquestada por un actor de amenazas norcoreano rastreado por CrowdStrike bajo el apodo de Famous Chollima. Las cadenas de ataques comienzan con una entrevista de trabajo ficticia, engañando a los solicitantes de empleo para que descarguen y ejecuten un proyecto Node.js que contiene el malware de descarga BeaverTail, que a su vez ofrece una puerta trasera Python multiplataforma conocida como InvisibleFerret, que está equipada con control remoto, registro de teclas y capacidades de robo del navegador. Algunas iteraciones de BeaverTail, que también funciona como un ladrón de información, se han manifestado en forma de malware de JavaScript, generalmente distribuido a través de paquetes npm falsos como parte de una supuesta evaluación técnica durante el proceso de entrevista. Pero eso cambió en julio de 2024 cuando se descubrieron en la red el instalador MSI de Windows y los archivos de imagen de disco (DMG) de macOS de Apple que se hacían pasar por el software legítimo de videoconferencia MiroTalk, actuando como un conducto para implementar una versión actualizada de BeaverTail. Los últimos hallazgos de Group-IB, que ha atribuido la campaña al infame Lazarus Group, sugieren que el actor de amenazas continúa apoyándose en este mecanismo de distribución específico, con la única diferencia de que el instalador («FCCCall.msi») imita a FreeConference.com en lugar de MiroTalk. Se cree que el instalador falso se descarga de un sitio web llamado freeconference[.]io, que utiliza el mismo registrador que el ficticio mirotalk[.]»Además de Linkedin, Lazarus también busca activamente víctimas potenciales en otras plataformas de búsqueda de empleo como WWR, Moonlight, Upwork y otras», dijo la investigadora de seguridad Sharmine Low. «Después de hacer el contacto inicial, a menudo intentaban trasladar la conversación a Telegram, donde luego pedían a los posibles entrevistados que descargaran una aplicación de videoconferencia o un proyecto Node.js para realizar una tarea técnica como parte del proceso de entrevista». En una señal de que la campaña está pasando por un refinamiento activo, se ha observado que los actores de la amenaza inyectan el JavaScript malicioso en repositorios relacionados con criptomonedas y juegos. El código JavaScript, por su parte, está diseñado para recuperar el código Javascript de BeaverTail del dominio ipcheck[.]nube o región comprobar[.]net. Vale la pena mencionar aquí que este comportamiento también fue destacado recientemente por la empresa de seguridad de la cadena de suministro de software Phylum en relación con un paquete npm llamado helmet-validate, lo que sugiere que los actores de la amenaza están haciendo uso simultáneamente de diferentes vectores de propagación. Otro cambio notable es que BeaverTail ahora está configurado para extraer datos de más extensiones de billetera de criptomonedas como Kaikas, Rabby, Argent X y Exodus Web3, además de implementar la funcionalidad para establecer la persistencia usando AnyDesk. Eso no es todo. Las características de robo de información de BeaverTail ahora se realizan a través de un conjunto de scripts de Python, colectivamente llamados CivetQ, que es capaz de recolectar cookies, datos del navegador web, pulsaciones de teclas y contenido del portapapeles, y entregar más scripts. Un total de 74 extensiones de navegador son el objetivo del malware. «El malware es capaz de robar datos de Microsoft Sticky Notes atacando los archivos de la base de datos SQLite de la aplicación ubicados en `%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite`, donde las notas del usuario se almacenan en un formato no cifrado», dijo Low. «Al consultar y extraer datos de esta base de datos, el malware puede recuperar y exfiltrar información confidencial de la aplicación Sticky Notes de la víctima». La aparición de CivetQ apunta a un enfoque modularizado, al tiempo que subraya que las herramientas están en desarrollo activo y han estado evolucionando constantemente en pequeños incrementos durante los últimos meses. «Lazarus ha actualizado sus tácticas, mejorado sus herramientas y encontrado mejores formas de ocultar sus actividades», dijo Low. «No muestran signos de disminuir sus esfuerzos, con su campaña dirigida a los solicitantes de empleo que se extiende hasta 2024 y hasta el día de hoy. Sus ataques se han vuelto cada vez más creativos y ahora están expandiendo su alcance a más plataformas». La revelación se produce cuando la Oficina Federal de Investigaciones (FBI) de Estados Unidos advirtió sobre los ataques agresivos de los actores cibernéticos norcoreanos contra la industria de las criptomonedas mediante ataques de ingeniería social «bien disimulados» para facilitar el robo de criptomonedas. «Los esquemas de ingeniería social de Corea del Norte son complejos y elaborados, y a menudo comprometen a las víctimas con una perspicacia técnica sofisticada», dijo el FBI en un aviso publicado el martes, afirmando que los actores de amenazas exploran a las posibles víctimas revisando su actividad en las redes sociales en redes profesionales o plataformas relacionadas con el empleo. «Los equipos de actores cibernéticos maliciosos de Corea del Norte identifican empresas específicas relacionadas con DeFi o criptomonedas para atacar e intentan utilizar ingeniería social para atacar a docenas de los empleados de estas empresas para obtener acceso no autorizado a la red de la empresa». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.