Malware OtterCookie
Gli attori informatici nordcoreani collegati alla campagna Contagious Interview hanno introdotto una nuova minaccia basata su JavaScript chiamata OtterCookie. Questa campagna, nota anche come DeceptiveDevelopment, impiega sofisticate tattiche di ingegneria sociale per distribuire software minacciosi sotto le mentite spoglie di strumenti o interazioni legittimi.
Sommario
L’ingegneria sociale al centro dell’intervista contagiosa
La campagna Contagious Interview si basa molto sull'ingegneria sociale, con gli aggressori che si spacciano per reclutatori. Sfruttano gli individui in cerca di opportunità di lavoro, inducendoli a scaricare software malevolo durante un processo di colloquio inventato. Ciò viene ottenuto tramite la distribuzione di applicazioni di videoconferenza compromesse o pacchetti npm ospitati su piattaforme come GitHub o registri di pacchetti ufficiali. Tali metodi hanno consentito l'implementazione di famiglie di malware come BeaverTail e InvisibleFerret.
Tracciare la minaccia
I ricercatori di sicurezza, che hanno documentato per la prima volta questa attività nel novembre 2023, hanno tracciato la campagna con l'identificativo CL-STA-0240. Il gruppo di hacker è anche noto con alias come Famous Chollima e Tenacious Pungsan. Entro settembre 2024, i ricercatori hanno scoperto aggiornamenti significativi alla catena di attacco, tra cui una versione evoluta di BeaverTail. Questo aggiornamento ha introdotto capacità modulari, delegando le sue operazioni di furto di dati a script Python denominati collettivamente CivetQ.
Distinzione dall’operazione Dream Job
Nonostante le sue somiglianze con Operation Dream Job, un'altra campagna informatica nordcoreana legata al lavoro, Contagious Interview rimane distinta. Entrambe le campagne impiegano esche a tema lavoro, ma le loro metodologie di infezione e i loro set di strumenti divergono. Ciò sottolinea i vari approcci che gli attori della minaccia nordcoreana utilizzano per colpire le vittime.
Il ruolo di OtterCookie nella catena di attacco aggiornata
Recenti scoperte hanno evidenziato OtterCookie come componente essenziale nell'arsenale di Contagious Interview. Il malware, introdotto a settembre 2024, opera in tandem con BeaverTail, recuperando ed eseguendo il suo payload tramite un server Command-and-Control (C2). Utilizzando la libreria JavaScript Socket.IO, OtterCookie può eseguire comandi shell per esfiltrare dati sensibili come file, contenuti degli appunti e chiavi del portafoglio di criptovaluta.
Capacità in evoluzione: varianti di OtterCookie
La versione iniziale di OtterCookie incorporava un meccanismo di furto diretto di chiavi di portafoglio di criptovaluta all'interno della sua base di codice. Tuttavia, una variante rivista, rilevata alla fine del 2024, ha spostato questa funzionalità all'esecuzione remota tramite comandi shell. Questo adattamento illustra gli sforzi continui degli aggressori per perfezionare i loro strumenti mantenendo al contempo un'efficace catena di infezione.
Implicazioni degli aggiornamenti continui degli strumenti
L'introduzione di OtterCookie e delle sue varianti aggiornate dimostra che la campagna Contagious Interview è tutt'altro che stagnante. Potenziando le loro capacità di malware e lasciando in gran parte invariata la loro metodologia di attacco, gli autori della minaccia confermano il continuo successo e l'adattabilità della campagna nel colpire vittime ignare.
