De dreigingsactoren achter een aanhoudende malwarecampagne die gericht is op softwareontwikkelaars, hebben nieuwe malware en tactieken gedemonstreerd en richten zich nu ook op Windows-, Linux- en macOS-systemen.
De activiteitencluster, genaamd ONTWIKKELAAR#POPPER en in verband wordt gebracht met Noord-Korea, blijkt slachtoffers te hebben gemaakt in Zuid-Korea, Noord-Amerika, Europa en het Midden-Oosten.
“Deze vorm van aanval is een geavanceerde vorm van social engineering, ontworpen om individuen te manipuleren om vertrouwelijke informatie te onthullen of acties te ondernemen die ze normaal gesproken niet zouden uitvoeren”, aldus Securonix-onderzoekers Den Iuzvyk en Tim Peck in een nieuw rapport dat werd gedeeld met The Hacker News.
DEV#POPPER is de bijnaam die is toegewezen aan een actieve malwarecampagne die softwareontwikkelaars ertoe verleidt om boobytrap-software te downloaden die op GitHub wordt gehost onder het mom van een sollicitatiegesprek. Het deelt overlappingen met een campagne die wordt gevolgd door Palo Alto Networks Unit 42 onder de naam Contagious Interview.
Eerder deze maand doken er al signalen op dat de campagne breder en platformonafhankelijk was, toen onderzoekers artefacten ontdekten die gericht waren op zowel Windows als macOS en die een bijgewerkte versie van malware met de naam BeaverTail leverden.
Het aanvalsketendocument van Securonix is min of meer consistent in die zin dat de dreigingsactoren zich voordoen als interviewers voor een ontwikkelaarsfunctie en de kandidaten aansporen een ZIP-archiefbestand te downloaden voor een programmeeropdracht.
Bij het archief is een npm-module aanwezig die, zodra deze is geïnstalleerd, de uitvoering van een verhulde JavaScript-code (bijvoorbeeld BeaverTail) activeert. Deze code bepaalt op welk besturingssysteem de code wordt uitgevoerd en maakt contact met een externe server om relevante gegevens te exfiltreren.
Het kan ook next-stage payloads downloaden, waaronder een Python-backdoor met de naam InvisibleFerret. Deze is ontworpen om gedetailleerde systeemmetadata te verzamelen, toegang te krijgen tot cookies die zijn opgeslagen in webbrowsers, opdrachten uit te voeren, bestanden te uploaden/downloaden en toetsaanslagen en de inhoud van het klembord te registreren.
Nieuwe functies die aan de recente voorbeelden zijn toegevoegd, zijn onder meer het gebruik van verbeterde verduistering, AnyDesk Remote Monitoring and Management (RMM)-software voor persistentie en verbeteringen aan het FTP-mechanisme dat wordt gebruikt voor gegevensexfiltratie.
Bovendien fungeert het Python-script als een kanaal om een aanvullend script uit te voeren dat verantwoordelijk is voor het stelen van gevoelige informatie van verschillende webbrowsers (Google Chrome, Opera en Brave) op verschillende besturingssystemen.
“Deze geavanceerde uitbreiding van de originele DEV#POPPER-campagne blijft Python-scripts gebruiken om een aanval in meerdere fasen uit te voeren die gericht is op het ontfutselen van gevoelige informatie van slachtoffers. De mogelijkheden zijn nu echter veel robuuster”, aldus de onderzoekers.
