Se ha identificado una nueva versión del malware BeaverTail dirigido a buscadores de empleo tecnológicos a través de reclutadores falsos. El ataque, descubierto por la Unidad 42 y parte de la actual campaña de Entrevista Contagiosa CL-STA-240, explota plataformas de búsqueda de empleo como LinkedIn y X (anteriormente Twitter), y los atacantes se hacen pasar por empleadores para infectar dispositivos con malware. La campaña, que se informó inicialmente en noviembre de 2023, ha evolucionado desde entonces y han aparecido nuevas versiones de malware. Los descubrimientos recientes incluyen el descargador BeaverTail, compilado utilizando el marco Qt multiplataforma a partir de julio de 2024. Esto permite a los atacantes implementar malware en sistemas macOS y Windows desde un único código fuente. Además, se han realizado actualizaciones de código en la puerta trasera InvisibleFerret, que permite un mayor control de los dispositivos infectados. BeaverTail: distribución y motivos El malware BeaverTail se distribuye a través de archivos disfrazados de aplicaciones legítimas, como MiroTalk y FreeConference, engañando a las víctimas para que instalen el software malicioso. «Después de que el atacante programó una entrevista técnica en línea, convenció a la víctima potencial para que ejecutara código malicioso», explicó Unit42. «En [one] En este caso, la víctima potencial ejecutó intencionalmente el código en un entorno virtual, que finalmente se conectó nuevamente al servidor de comando y control (C2) del atacante”. Una vez instalado, BeaverTail se ejecuta en segundo plano y roba datos confidenciales, como contraseñas del navegador e información de billeteras de criptomonedas. Esto se alinea con las motivaciones financieras a menudo atribuidas a los ciberactores norcoreanos, ya que BeaverTail ahora apunta a 13 extensiones de navegador de billeteras de criptomonedas diferentes, en comparación con nueve en su variante anterior. El ataque termina con la entrega de la puerta trasera InvisibleFerret, que se utiliza para registrar teclas, exfiltración de archivos e incluso descargar software de control remoto como AnyDesk. “[An] Un riesgo importante que plantea esta campaña es la posible infiltración en las empresas que emplean a los solicitantes de empleo objetivo. Una infección exitosa en un terminal propiedad de la empresa podría resultar en la recopilación y exfiltración de información confidencial”, advirtió la Unidad 42. La firma también informó que el desarrollo continuo del código del malware sugiere que los atacantes están refinando activamente sus métodos entre ataques. Lea más sobre ataques de ingeniería social: el 92% de las organizaciones afectadas por el compromiso de credenciales debido a ataques de ingeniería social La Unidad 42 recomendó que tanto las personas como las organizaciones deben permanecer alerta, especialmente en escenarios de contratación laboral, para evitar ser víctimas de campañas de ingeniería social tan sofisticadas.