Los expertos en ciberseguridad han descubierto una versión actualizada de un malware conocido que ha sido entregado por atacantes asociados a la República Democrática de Corea (DPRK) como parte de campañas previas de ciberespionaje dirigidas a personas en busca de empleo.
Esta variante de malware es un archivo de imagen de disco de Apple macOS (DMG) llamado «MiroTalk.dmg», que finge ser el servicio legítimo de videollamadas del mismo nombre. Sin embargo, en realidad actúa como un conducto para entregar una versión nativa de BeaverTail, según el investigador de seguridad Patrick Wardle.
BeaverTail es un malware ladrón de JavaScript que fue descubierto por primera vez por Palo Alto Networks Unit 42 en noviembre de 2023, como parte de una campaña denominada «Contagious Interview». Esta campaña tiene como objetivo infectar a desarrolladores de software con malware a través de un falso proceso de entrevista de trabajo. Securonix está rastreando la misma actividad bajo el nombre DEV#POPPER.
Además de recolectar información delicada de navegadores web y carteras de criptomonedas, el malware es capaz de entregar cargas adicionales, como InvisibleFerret, un backdoor de Python que se encarga de descargar AnyDesk para acceso remoto persistente.
A pesar de que BeaverTail ha sido distribuido a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los hallazgos más recientes apuntan a un cambio en el vector de distribución.
Según las afirmaciones de Wardle, es probable que los piratas informáticos de la DPRK se hayan acercado a posibles víctimas solicitando unirse a una reunión de contratación, descargando y ejecutando la versión infectada de MiroTalk alojada en mirotalk[.]net.
Un análisis del archivo DMG no firmado revela que facilita el robo de datos de carteras de criptomonedas, iCloud Keychain y navegadores web como Google Chrome, Brave y Opera. Asimismo, está diseñado para descargar y ejecutar scripts adicionales de Python desde un servidor remoto, es decir, InvisibleFerret.
Los hackers de Corea del Norte son hábiles en atacar objetivos de macOS, aunque su técnica a menudo depende de la ingeniería social, lo que los hace técnicamente poco impresionantes, según las palabras de Wardle.
Este descubrimiento se produce después de que Phylum descubriera un nuevo paquete malicioso de npm llamado «call-blockflow», que es virtualmente idéntico a la biblioteca legítima «call-bind», pero incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras hace esfuerzos meticulosos para pasar desapercibido.
Se sospecha que el paquete es obra del Grupo Lazarus vinculado a Corea del Norte y se despublicó aproximadamente una hora y media después de haber sido subido a npm, atrayendo un total de 18 descargas. Las evidencias sugieren que la actividad ha estado en curso en oleadas desde septiembre de 2023, comprendiendo más de tres docenas de paquetes maliciosos.
La empresa de seguridad de la cadena de suministro de software informa que estos paquetes maliciosos, una vez instalados, descargaban un archivo remoto, lo desencriptaban, ejecutaban una función exportada de él y luego cubrían meticulosamente sus huellas al eliminar y renombrar archivos, dejando el directorio del paquete en un estado aparentemente benigno después de la instalación.
Este hallazgo sigue a una advertencia de JPCERT/CC sobre ataques cibernéticos orquestados por el grupo Kimsuky de Corea del Norte dirigidos a organizaciones japonesas.
El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones de seguridad y diplomáticas y contienen un ejecutable malicioso que, al abrirse, lleva a la descarga de un script de Visual Basic (VBS), que, a su vez, recupera un script de PowerShell para recolectar información de cuentas de usuario, sistema y red, así como para enumerar archivos y procesos. La información recolectada luego se exfiltra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que se ejecuta para buscar y ejecutar un keylogger basado en PowerShell llamado InfoKey.
Finalmente, los investigadores de ciberseguridad han identificado una versión de Windows del instalador de MiroTalk («MiroTalk.msi»), lo que indica que la campaña está dirigida a usuarios de macOS y Windows por igual.
Vía The Hacker News
