Programari maliciós OtterCookie
Els ciberactors de Corea del Nord vinculats a la campanya Contagious Interview han introduït una nova amenaça basada en JavaScript anomenada OtterCookie. Aquesta campanya, també coneguda com DeceptiveDevelopment, empra tàctiques d'enginyeria social sofisticades per oferir programari amenaçador sota l'aparença d'eines o interaccions legítimes.
Taula de continguts
L’enginyeria social al nucli de l’entrevista contagiosa
La campanya Contagious Interview es basa en gran mesura en l'enginyeria social, amb els atacants fent-se passar per reclutadors. Aprofiten els individus que busquen oportunitats de treball, atraient-los a descarregar programari malèvol durant un procés d'entrevista fabricat. Això s'aconsegueix mitjançant la distribució d'aplicacions de videoconferència compromeses o paquets npm allotjats en plataformes com GitHub o registres oficials de paquets. Aquests mètodes han permès el desplegament de famílies de programari maliciós com BeaverTail i InvisibleFerret.
Seguiment de l’amenaça
Els investigadors de seguretat, que van documentar per primera vegada aquesta activitat el novembre de 2023, han fet un seguiment de la campanya amb l'identificador CL-STA-0240. El grup de pirates informàtics també es coneix amb àlies com el Famous Chollima i el Tenacious Pungsan. Al setembre de 2024, els investigadors van descobrir actualitzacions significatives de la cadena d'atac, inclosa una versió evolucionada de BeaverTail. Aquesta actualització va introduir capacitats modulars, delegant les seves operacions de robatori de dades als scripts de Python anomenats col·lectivament CivetQ.
Distinció de l’operació Dream Job
Malgrat les seves similituds amb l'Operació Dream Job, una altra campanya cibernètica de Corea del Nord relacionada amb la feina, Contagious Interview continua sent diferent. Ambdues campanyes utilitzen señuelos de temàtica laboral, però les seves metodologies d'infecció i conjunts d'eines divergeixen. Això subratlla els enfocaments variats que fan servir els actors de les amenaces de Corea del Nord per apuntar a les víctimes.
El paper d’OtterCookie a la cadena d’atac actualitzada
Les troballes recents han destacat OtterCookie com un component crític de l'arsenal de Contagious Interview. El programari maliciós, introduït el setembre de 2024, funciona conjuntament amb BeaverTail, obtenint i executant la seva càrrega útil mitjançant un servidor de comandament i control (C2). Mitjançant la biblioteca JavaScript Socket.IO, OtterCookie pot executar ordres de l'intèrpret d'ordres per exfiltrar dades sensibles com ara fitxers, contingut del porta-retalls i claus de cartera de criptomoneda.
Capacitats en evolució: variants de OtterCookie
La versió inicial d'OtterCookie incorporava un mecanisme directe de robatori de claus de cartera de criptomoneda dins de la seva base de codi. No obstant això, una variant revisada, detectada a finals de 2024, va canviar aquesta característica a l'execució remota mitjançant ordres de shell. Aquesta adaptació il·lustra els esforços en curs dels atacants per perfeccionar les seves eines mantenint una cadena d'infecció eficaç.
Implicacions de les actualitzacions contínues d’eines
La introducció d'OtterCookie i les seves variants actualitzades demostra que la campanya Contagious Interview està lluny d'estar estancada. En millorar les seves capacitats de programari maliciós sense canviar la seva metodologia d'atac en gran mesura, els actors de l'amenaça afirmen l'èxit i l'adaptabilitat continuats de la campanya a l'hora d'orientar-se a víctimes insospitades.
