Ataques de Ciberespionaje: Malware Actualizado de Corea del Norte apunta a Usuarios de macOS
Un equipo de investigadores en ciberseguridad ha identificado una variante actualizada de malware tipo stealer, previamente asociado con campañas de ciberespionaje del gobierno de Corea del Norte. Esta nueva amenaza, disfrazada como un archivo DMG para macOS, utiliza el nombre de una aplicación legítima de videollamadas llamada MiroTalk.
BeaverTail y su Evolución
BeaverTail es el nombre de un malware escrito en JavaScript, cuyo objetivo es robar información sensible de navegadores web y carteras de criptomonedas. Fue documentado por primera vez por Palo Alto Networks en noviembre de 2023, durante una campaña denominada “Contagious Interview.” Esta campaña tenía como objetivo infectar a desarrolladores de software a través de simulaciones de entrevistas de trabajo. Securonix, otro actor de la industria de ciberseguridad, también ha seguido esta actividad bajo el nombre de DEV#POPPER.
El malware no solo roba información, sino que también puede instalar cargas adicionales como InvisibleFerret, un backdoor escrito en Python que descarga AnyDesk para obtener acceso remoto persistente.
Cambio en el Vector de Distribución
Inicialmente, BeaverTail se distribuía a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm. Sin embargo, los hallazgos recientes indican un cambio en los métodos de distribución. Los atacantes probablemente instan a sus víctimas a participar en reuniones de contratación, solicitando que descarguen y ejecuten una versión maliciosa de MiroTalk alojada en un sitio web falso (mirotalk[.]net).
El análisis del archivo DMG no firmado revela que facilita el robo de datos de carteras de criptomonedas, el llavero de iCloud y navegadores web como Google Chrome, Brave y Opera. Además, está diseñado para descargar y ejecutar scripts en Python desde un servidor remoto.
Nuevos Descubrimientos en Paquetes npm
Investigaciones adicionales han sacado a la luz otro paquete npm malicioso llamado call-blockflow, casi idéntico a la biblioteca legítima call-bind. Este paquete malicioso descarga un archivo binario remoto de manera sigilosa, emulando la legitimidad del paquete original para aumentar las probabilidades de éxito del ataque.
El paquete sospechoso, asociado con el grupo Lazarus vinculado a Corea del Norte, estuvo disponible en npm por aproximadamente una hora y media, atrayendo un total de 18 descargas. La actividad, que incluye más de tres docenas de paquetes maliciosos, parece haber estado en curso desde septiembre de 2023.
Estos paquetes, una vez instalados, descargan un archivo remoto, lo descifran y ejecutan una función exportada desde él, borrando y renombrando archivos para cubrir sus huellas y dejar el directorio en un estado aparentemente inofensivo.
Advertencias de JPCERT/CC y Nuevas Amenazas
Otra cara de estos ataques es el actor de amenazas conocido como Kimsuky, también vinculado a Corea del Norte. Este grupo ha estado orquestando ataques cibernéticos dirigidos a organizaciones en Japón. El proceso de infección comienza con mensajes de phishing que imitan a organizaciones de seguridad y diplomáticas, conteniendo un ejecutable malicioso que descarga un script Visual Basic, seguido de un script PowerShell para recopilar información de cuentas de usuario y sistemas.
El objetivo final es exfiltrar la información recolectada a un servidor de comando y control (C2), que responde con un segundo archivo VBS para ejecutar un keylogger basado en PowerShell llamado InfoKey.
Expansión a Sistemas Windows
Finalmente, los investigadores también han identificado una versión para Windows del instalador de MiroTalk, sugiriendo que la campaña está dirigida tanto a usuarios de macOS como de Windows.
Para más detalles, puedes leer la fuente completa de esta información aquí.
Fuente: https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html