Malware OtterCookie
Actorii cibernetici nord-coreeni legați de campania Contagious Interview au introdus o nouă amenințare bazată pe JavaScript, numită OtterCookie. Această campanie, cunoscută și sub numele de DeceptiveDevelopment, folosește tactici sofisticate de inginerie socială pentru a furniza software amenințător sub pretextul unor instrumente sau interacțiuni legitime.
Cuprins
Ingineria socială în centrul interviului contagios
Campania Contagious Interview se bazează în mare măsură pe ingineria socială, atacatorii dându-se drept recrutori. Ei exploatează indivizi care caută oportunități de muncă, ademenindu-i să descarce software răuvoitor în timpul unui proces de interviu fabricat. Acest lucru se realizează prin distribuirea de aplicații de videoconferință compromise sau pachete npm găzduite pe platforme precum GitHub sau registre oficiale de pachete. Astfel de metode au permis implementarea unor familii de malware precum BeaverTail și InvisibleFerret.
Urmărirea amenințării
Cercetătorii de securitate, care au documentat pentru prima dată această activitate în noiembrie 2023, au urmărit campania sub identificatorul CL-STA-0240. Grupul de hacking este, de asemenea, menționat prin pseudonime, cum ar fi Faimosul Chollima și Tenacious Pungsan. Până în septembrie 2024, cercetătorii au descoperit actualizări semnificative ale lanțului de atac, inclusiv o versiune evoluată a BeaverTail. Această actualizare a introdus capabilități modulare, delegând operațiunile de furt de date către scripturile Python numite colectiv CivetQ.
Distincție față de Operațiunea Job de vis
În ciuda asemănărilor sale cu Operațiunea Dream Job, o altă campanie cibernetică nord-coreeană legată de locuri de muncă, Contagious Interview rămâne distinctă. Ambele campanii folosesc momeli cu tematică de muncă, dar metodologiile și seturile de instrumente ale acestora diferă. Acest lucru subliniază abordările variate pe care actorii nord-coreeni le folosesc pentru a ținti victimele.
Rolul lui OtterCookie în lanțul de atac actualizat
Descoperirile recente au evidențiat OtterCookie ca o componentă critică în arsenalul Contagious Interview. Malware-ul, introdus în septembrie 2024, funcționează în tandem cu BeaverTail, preluând și executând sarcina utilă prin intermediul unui server de comandă și control (C2). Folosind biblioteca JavaScript Socket.IO, OtterCookie poate executa comenzi shell pentru a exfiltra date sensibile, cum ar fi fișiere, conținut clipboard și chei pentru portofelul criptomonedei.
Capacități în evoluție: variante OtterCookie
Versiunea inițială a OtterCookie a încorporat un mecanism direct de furt de chei pentru portofelul criptomonedelor în baza sa de cod. Cu toate acestea, o variantă revizuită, detectată la sfârșitul anului 2024, a mutat această caracteristică la execuția de la distanță prin comenzi shell. Această adaptare ilustrează eforturile continue ale atacatorilor de a-și perfecționa instrumentele, menținând în același timp un lanț eficient de infecție.
Implicațiile actualizărilor continue de instrumente
Introducerea lui OtterCookie și a variantelor sale actualizate demonstrează că campania Contagious Interview este departe de a stagna. Îmbunătățindu-și capacitățile de malware, lăsând în mare parte neschimbată metodologia de atac, actorii amenințărilor afirmă succesul continuu și adaptabilitatea campaniei în țintirea victimelor nebănuitoare.
