Noord-Koreaanse hackers richten zich op werkzoekenden met nep-FreeConference-app

Noord-Koreaanse cybercriminelen hebben een nep-Windows-videoconferentietoepassing die FreeConference.com imiteert, gebruikt om de systemen van ontwikkelaars te hacken. Dit is onderdeel van een lopende, financieel gedreven campagne met de naam Contagious Interview.

De nieuwe aanvalsgolf, die medio augustus 2024 werd opgemerkt door het Singaporese bedrijf Group-IB, is opnieuw een indicatie dat de activiteit ook gebruikmaakt van native installatieprogramma’s voor Windows en Apple macOS om malware te verspreiden.

Contagious Interview, ook bekend als DEV#POPPER, is een kwaadaardige campagne die is opgezet door een Noord-Koreaanse cybercrimineel en die door CrowdStrike wordt gevolgd onder de naam Famous Chollima.

De aanvalsketen begint met een fictief sollicitatiegesprek, waarbij werkzoekenden worden misleid om een ​​Node.js-project te downloaden en uit te voeren dat de BeaverTail-downloadermalware bevat. Deze malware installeert op zijn beurt een platformonafhankelijke Python-backdoor genaamd InvisibleFerret, die is uitgerust met functies voor bediening op afstand, keylogging en het stelen van browsers.

Sommige varianten van BeaverTail, die ook als informatiedief fungeert, manifesteerden zich in de vorm van JavaScript-malware. Deze werd doorgaans verspreid via valse npm-pakketten als onderdeel van een zogenaamde technische beoordeling tijdens het sollicitatiegesprek.

Maar dat veranderde in juli 2024 toen het Windows MSI-installatieprogramma en Apple macOS-schijfkopiebestanden (DMG) in het wild werden aangetroffen, die zich voordeden als de legitieme MiroTalk-videoconferentiesoftware. Deze bestanden fungeerden als een kanaal om een ​​bijgewerkte versie van BeaverTail te implementeren.

De laatste bevindingen van Group-IB, die de campagne toeschrijft aan de beruchte Lazarus Group, suggereren dat de kwaadwillende partij nog steeds gebruikmaakt van dit specifieke distributiemechanisme. Het enige verschil is dat het installatieprogramma (“FCCCall.msi”) FreeConference.com nabootst in plaats van MiroTalk.

Er wordt aangenomen dat het valse installatieprogramma is gedownload van een website met de naam freeconference(.)io, die dezelfde registrar gebruikt als de fictieve website mirotalk(.)net.

“Naast Linkedin is Lazarus ook actief op zoek naar potentiële slachtoffers op andere platforms voor het zoeken naar werk, zoals WWR, Moonlight, Upwork en andere”, aldus beveiligingsonderzoeker Sharmine Low.

“Nadat ze het eerste contact hadden gelegd, probeerden ze het gesprek vaak over te zetten naar Telegram. Daar vroegen ze de potentiële kandidaten om een ​​videoconferentietoepassing of een Node.js-project te downloaden om een ​​technische taak uit te voeren als onderdeel van het interviewproces.”

In een teken dat de campagne actief wordt verfijnd, zijn de dreigingsactoren waargenomen die de kwaadaardige JavaScript injecteren in zowel cryptovaluta- als gaming-gerelateerde repositories. De JavaScript-code is op zijn beurt ontworpen om de BeaverTail Javascript-code op te halen uit het domein ipcheck(.)cloud of regioncheck(.)net.

Het is de moeite waard om hier te vermelden dat dit gedrag onlangs ook werd benadrukt door het software-toeleveringsketenbeveiligingsbedrijf Phylum in verband met een npm-pakket met de naam helmet-validate, wat suggereert dat de kwaadwillende actoren tegelijkertijd gebruikmaken van verschillende verspreidingsvectoren.

Een andere opvallende verandering is dat BeaverTail nu is geconfigureerd om gegevens te extraheren uit meer extensies voor cryptocurrency-wallets, zoals Kaikas, Rabby, Argent X en Exodus Web3. Daarnaast is er functionaliteit geïmplementeerd om persistentie in te stellen met behulp van AnyDesk.

Dat is nog niet alles. De informatie-stelende functies van BeaverTail worden nu gerealiseerd via een set Python-scripts, gezamenlijk CivetQ genoemd, die in staat zijn om cookies, webbrowsergegevens, toetsaanslagen en klembordinhoud te verzamelen en meer scripts te leveren. In totaal zijn 74 browserextensies het doelwit van de malware.

“De malware kan gegevens stelen van Microsoft Sticky Notes door zich te richten op de SQLite-databasebestanden van de applicatie die zich bevinden op `%LocalAppData%PackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite`, waar gebruikersnotities in een niet-versleutelde indeling worden opgeslagen”, aldus Low.

“Door gegevens uit deze database te raadplegen en te extraheren, kan de malware gevoelige informatie uit de Sticky Notes-applicatie van het slachtoffer ophalen en exfiltreren.”

De opkomst van CivetQ wijst op een gemodulariseerde aanpak, maar onderstreept ook dat de tools actief in ontwikkeling zijn en de afgelopen maanden steeds in kleine stapjes zijn doorontwikkeld.

“Lazarus heeft hun tactieken bijgewerkt, hun tools geüpgraded en betere manieren gevonden om hun activiteiten te verbergen,” zei Low. “Ze vertonen geen tekenen van het versoepelen van hun inspanningen, met hun campagne gericht op werkzoekenden die zich uitstrekt tot 2024 en tot op de dag van vandaag. Hun aanvallen zijn steeds creatiever geworden en ze breiden hun bereik nu uit naar meer platforms.”

De onthulling volgt op een waarschuwing van de Amerikaanse Federal Bureau of Investigation (FBI) voor Noord-Koreaanse cyberactoren die de cryptovaluta-industrie agressief aanvallen met behulp van ‘goed vermomde’ social engineering-aanvallen om cryptovalutadiefstal te vergemakkelijken.

“Noord-Koreaanse social engineering-praktijken zijn complex en uitgebreid en brengen vaak slachtoffers met een geavanceerd technisch inzicht in gevaar”, aldus de FBI in een dinsdag gepubliceerd advies. Hierin staat dat de daders potentiële slachtoffers in kaart brengen door hun activiteiten op sociale media, op professionele netwerken of op werkgerelateerde platforms te bekijken.

“Teams van kwaadwillende cyberactoren uit Noord-Korea identificeren specifieke DeFi- of cryptovaluta-gerelateerde bedrijven en proberen tientallen werknemers van deze bedrijven via social engineering aan te vallen, zodat ze ongeautoriseerde toegang krijgen tot het netwerk van het bedrijf.”

Thijs Van der Does