Gli attori della minaccia nordcoreana dietro il Intervista contagiosa La campagna è stata osservata utilizzando le versioni aggiornate di un malware multipiattaforma chiamato OtterCookie con funzionalità per rubare le credenziali dai browser Net e altri file.
NTT Safety Holdings, che dettagliato I nuovi risultati, hanno affermato che gli aggressori hanno “attivamente e continuamente” aggiornato il malware, introducendo le versioni V3 e V4 a febbraio e aprile 2025, rispettivamente.
La società di sicurezza informatica giapponese sta monitorando il cluster sotto il nome Perple advert acquache è anche noto come CL-STA-0240, Deveppededevelopment, Dev#Popper, famoso chollima, Purplebravo e Pungsan tenace.
Ottercookie period Primo documentato da NTT l’anno scorso dopo averlo osservato negli attacchi dal settembre 2024. Consegnato per mezzo di un payload JavaScript tramite un pacchetto NPM dannoso, Trojanized GitHub o Bitbucket Reposiory o un’app di videoconferenziazione fasulle, è progettato per contattare un server esterno per eseguire comandi su host compromessi.
È stato scoperto che OtterCookie V3 incorpora un nuovo modulo di caricamento per inviare file che corrispondono a un set predefinito di estensioni al server esterno. Ciò consiste in variabili di ambiente, immagini, documenti, fogli di calcolo, file di testo e file contenenti frasi mnemoniche e di recupero affiliate ai portafogli di criptovaluta.
Vale la pena sottolineare che questo modulo period stato precedentemente eseguito in Ottercookie V2 come comando shell ricevuto dal server.
La quarta iterazione del malware si espande sul suo predecessore aggiungendo altri due moduli per rubare le credenziali da Google Chrome, nonché estrarre dati dall’estensione Metamask per Google Chrome, Courageous Browser e ICloud Keychain.
Un’altra nuova funzionalità aggiunta a OtterCookie V4 è la possibilità di rilevare se viene eseguito negli ambienti Digital Machine (VM) relativi a Broadcom VMware, Oracle VirtualBox, Microsoft e QEMU.
È interessante notare che è stato scoperto che il primo modulo di furto responsabile della raccolta delle credenziali di Google Chrome lo fa dopo averli decrittoni, mentre il secondo modulo raccoglie dati di accesso crittografati da browser come Chrome e Courageous.
“Questa differenza nell’elaborazione dei dati o nello stile di codifica implica che questi moduli sono stati sviluppati da diversi sviluppatori”, hanno affermato i ricercatori Masaya Motoda e Rintaro Koike.
La divulgazione arriva quando molti payload dannosi relativi alla campagna di interviste contagiose sono stati fatti scoperti negli ultimi mesi, indicando che gli attori delle minacce stanno perfezionando il loro modus operandi.
Ciò embody un furto di informazioni basato su GO che viene fornito sotto la veste di un aggiornamento del driver RealTek (“WebCam.zip”) che, una volta aperto, esegue uno script di shell responsabile per il obtain del Rower e l’avvio di un’applicazione MacOS ingannevole (“DriverMinupdate.App”) ha progettato per raccogliere la password del sistema MACOS della vittima.
Si ritiene che il malware sia stato distribuito come parte di una versione aggiornata del codice CONDAMED Intervista a clic Di Sekoia il mese scorso a causa dell’uso di esche in stile ClickFix per risolvere i problemi audio e video inesistenti durante una valutazione on-line per un processo di intervista di lavoro.
“Il ruolo principale del furto è quello di stabilire un canale C2 persistente, profilare il sistema infetto e dati sensibili all’esfiltrato” disse. “Lo raggiunge attraverso una combinazione di ricognizione del sistema, furto di credenziali e esecuzione del comando remoto.”
Si valuta che l’applicazione driverminupdate fa parte di a più grande impostato Di simile app dannose Che sono stati scoperti da DMPDump, Sentinelone, Enki e Kandji come Chromeupdatealert, Chromeupdate, Cameraccess e Driverasy.
Una seconda nuova famiglia di malware collegata alla campagna è Tsunami-Framework, che viene consegnato come carico utile di follow-up a una backdoor di Python noto denominata InvisibleFerret. Un malware modulare basato su .NET, è dotato di rubare una vasta gamma di dati da browser Net e portafogli di criptovaluta.
Incorpora inoltre le funzionalità per registrare tasti, raccogliere file e persino un componente botnet che sembra essere sotto lo sviluppo precoce, la società di sicurezza tedesca Hisolutions disse In un rapporto pubblicato alla fantastic del mese scorso.
Intervista contagiosa, per ESETsi ritiene che sia un nuovo cluster di attività che fa parte del Gruppo Lazzaroun famigerato gruppo di hacking della Corea del Nord che ha una storia storica di orchestrare gli attacchi sia di spionaggio che finanziariamente motivati come un modo per far avanzare gli obiettivi strategici della nazione e le sanzioni internazionali di eludere.
All’inizio di quest’anno, il collettivo contraddittorio è stato attribuito al report Heist da miliardi di dollari dalla piattaforma di criptovaluta Bybit.
La minaccia del lavoratore IT nordcoreano sopporta
I risultati arrivano quando la società di sicurezza informatica Sophos ha rivelato che gli attori delle minacce dietro Schema di lavoratori IT fraudolenti Dalla Corea del Nord – noto anche come famoso Chollima, Nickel Tapestry e Wagemole – hanno iniziato a colpire sempre più organizzazioni in Europa e in Asia e industrie oltre il settore tecnologico per garantire posti di lavoro e incanalare i proventi di Pyongyang.
“Durante tutta la fase di pre-assunzione, gli attori delle minacce manipolano spesso le foto per i loro curriculum falsificati e i profili di LinkedIn e per accompagnare la storia del lavoro precedente o le richieste di progetti di gruppo”, l’unità di controprovatura SecureWorks (CTU) dell’azienda (CTU) disse.
“Utilizzano comunemente le foto inventory sovrapposte a immagini reali di se stesse. Gli attori delle minacce hanno anche aumentato l’utilizzo dell’intelligenza artificiale generativa, inclusi strumenti di scrittura, strumenti di modifica delle immagini e riprendere i costruttori.”
I lavoratori fraudolenti, al momento dell’atterraggio di un lavoro, sono stati trovati anche usando Utilità jiggler del mouseSoftware program VPN come Assill VPN e KVM su IP per l’accesso remoto, in alcuni casi anche ricorrendo a chiamate di zoom di otto ore per la condivisione dello schermo.
La scorsa settimana, la piattaforma di scambio di criptovaluta Kraken ha rivelato come un colloquio di lavoro di routine per una posizione ingegneristica si è trasformato in un’operazione di raccolta di intelligence dopo aver individuato un hacker nordcoreano che tentava di infiltrarsi nella società usando il nome Steven Smith.
“Il candidato ha utilizzato desktop mac colocati remoti ma ha interagito con altri componenti attraverso una VPN, una configurazione comunemente distribuita per nascondere la posizione e l’attività di rete”, la società disse. “Il loro curriculum period collegato a un profilo GitHub contenente un indirizzo e -mail esposto in una violazione dei dati passati.”
“La forma principale di ID del candidato sembrava essere modificata, probabilmente usando i dettagli rubati in un caso di furto di identità due anni prima.”
Ma invece di respingere definitivamente la domanda del candidato, Kraken ha affermato che le sue squadre di sicurezza e di reclutamento li hanno “strategicamente” avanzate attraverso il suo processo di intervista come modo per intrappolarli chiedendo loro di confermare la loro posizione, sostenere un documento di identità emesso dal governo e raccomandare alcuni ristoranti locali in città in cui hanno affermato di essere in.
“Spluse e colpiti alla sprovvista, hanno lottato con i take a look at di verifica di base e non potevano rispondere in modo convincente a domande in tempo reale sulla loro città di residenza o paese di cittadinanza”, ha detto Kraken. “Alla fantastic dell’intervista, la verità period chiara: questo non period un richiedente legittimo, ma un impostore che tentava di infiltrarsi nei nostri sistemi”.
In un altro caso documentato dal Dipartimento di Giustizia degli Stati Uniti (DOJ) il mese scorso, un uomo del Maryland di 40 anni, Minh Phuong Ngoc Vong, si è dichiarato colpevole Frauding dopo aver assicurato un lavoro con un appaltatore del governo e quindi esternalizzare il lavoro a un cittadino nordcoreano che risiede a Shenyang, in Cina, sottolineando la gravità dell’attività di raccolta fondi illecita.
La capacità della Corea del Nord di far scivolare furtivamente migliaia di lavoratori nelle principali aziende, spesso con l’aiuto di Facilitatori Chi gestisce quello che viene chiamato una fattoria per laptop computer, ha portato a ripetuti avvertimenti di governi giapponesi, sudcoreani, britannici e statunitensi.
Questi lavoratori sono stati trovati trascorrere fino a 14 mesi All’interno di un’organizzazione, con gli attori delle minacce che si impegnano anche nel furto di dati e nelle minacce di estorsione a seguito della risoluzione.
“Le organizzazioni (dovrebbero) stabilire process di verifica dell’identità migliorate come parte del loro processo di intervista”, ha affermato Sophos. “Il personale delle risorse umane e i reclutatori dovrebbero essere regolarmente aggiornati sulle tattiche utilizzate in queste campagne per aiutarli a identificare potenziali lavoratori IT fraudolenti della Corea del Nord.”
“Inoltre, le organizzazioni dovrebbero monitorare l’attività tradizionale per la minaccia degli insider, l’uso sospetto di strumenti legittimi e gli avvisi di viaggio impossibili per rilevare l’attività spesso associata a lavoratori fraudolenti.”
