OtterCookie Malware
Atores cibernéticos norte-coreanos ligados à campanha Contagious Interview introduziram uma nova ameaça baseada em JavaScript chamada OtterCookie. Esta campanha, também conhecida como DeceptiveDevelopment, emprega táticas sofisticadas de engenharia social para entregar software ameaçador sob o disfarce de ferramentas ou interações legítimas.
Índice
Engenharia Social no Centro do Contagious Interview
A campanha Contagious Interview depende muito de engenharia social, com os invasores se passando por recrutadores. Eles exploram indivíduos que buscam oportunidades de emprego, atraindo-os para baixar software malévolo durante um processo de entrevista fabricado. Isso é obtido por meio da distribuição de aplicativos de videoconferência comprometidos ou pacotes npm hospedados em plataformas como GitHub ou registros oficiais de pacotes. Esses métodos permitiram a implantação de famílias de malware como BeaverTail e InvisibleFerret.
Rastreando a Ameaça
Pesquisadores de segurança, que documentaram essa atividade pela primeira vez em novembro de 2023, rastrearam a campanha sob o identificador CL-STA-0240. O grupo de hackers também é conhecido por pseudônimos como Famous Chollima e Tenacious Pungsan. Em setembro de 2024, os pesquisadores descobriram atualizações significativas na cadeia de ataque, incluindo uma versão evoluída do BeaverTail. Essa atualização introduziu recursos modulares, delegando suas operações de roubo de dados a scripts Python chamados coletivamente de CivetQ.
Distinção da Operação Dream Job
Apesar de suas semelhanças com a Operation Dream Job, outra campanha cibernética norte-coreana relacionada a empregos, Contagious Interview, continua distinta. Ambas as campanhas empregam iscas com temas de empregos, mas suas metodologias de infecção e conjuntos de ferramentas divergem. Isso ressalta as abordagens variadas que os atores de ameaças norte-coreanos utilizam para atingir as vítimas.
A Função do OtterCookie na Cadeia de Ataque Atualizada
Descobertas recentes destacaram o OtterCookie como um componente crítico no arsenal do Contagious Interview. O malware, introduzido em setembro de 2024, opera em conjunto com o BeaverTail, buscando e executando sua carga útil por meio de um servidor Command-and-Control (C2). Usando a biblioteca JavaScript Socket.IO, o OtterCookie pode executar comandos de shell para exfiltrar dados confidenciais, como arquivos, conteúdo da área de transferência e chaves de carteira de criptomoedas.
Capacidades em Evolução: As Variantes do OtterCookie
A versão inicial do OtterCookie incorporou um mecanismo direto de roubo de chave de carteira de criptomoeda em sua base de código. No entanto, uma variante revisada, detectada no final de 2024, mudou esse recurso para execução remota por meio de comandos de shell. Essa adaptação ilustra os esforços contínuos dos invasores para refinar suas ferramentas, mantendo uma cadeia de infecção eficaz.
Implicações das Atualizações Contínuas de Ferramentas
A introdução do OtterCookie e suas variantes atualizadas demonstra que a campanha Contagious Interview está longe de estagnada. Ao aprimorar suas capacidades de malware enquanto deixa sua metodologia de ataque praticamente inalterada, os agentes de ameaças afirmam o sucesso contínuo da campanha e sua adaptabilidade em atingir vítimas desavisadas.
