Cybersecurityonderzoekers hebben een bijgewerkte variant ontdekt van bekende stealer-malware die aanvallers die banden hebben met de Democratische Volksrepubliek Korea (DPRK) hebben verspreid als onderdeel van eerdere cyberespionagecampagnes die gericht waren op werkzoekenden.
Het artefact in kwestie is een Apple macOS-schijfkopiebestand (DMG) met de naam ‘MiroTalk.dmg’ dat de legitieme videogespreksservice met dezelfde naam nabootst, maar in werkelijkheid dient als kanaal om een native versie van BeaverTail te leveren, aldus beveiligingsonderzoeker Patrick Wardle.
BeaverTail verwijst naar een JavaScript stealer malware die voor het eerst werd gedocumenteerd door Palo Alto Networks Unit 42 in november 2023 als onderdeel van een campagne genaamd Contagious Interview die erop gericht is om softwareontwikkelaars te infecteren met malware via een vermeend sollicitatiegesprek. Securonix houdt dezelfde activiteit bij onder de naam DEV#POPPER.
Naast het stelen van gevoelige informatie uit webbrowsers en cryptowallets, kan de malware ook aanvullende payloads leveren, zoals InvisibleFerret, een Python-backdoor die verantwoordelijk is voor het downloaden van AnyDesk voor permanente externe toegang.
Hoewel BeaverTail verspreid werd via valse npm-pakketten die gehost werden op GitHub en het npm-pakketregister, markeren de laatste bevindingen een verschuiving in de distributievector.
“Als ik het moet raden, benaderden de Noord-Koreaanse hackers hun potentiële slachtoffers waarschijnlijk met het verzoek om deel te nemen aan een sollicitatiegesprek, door de (geïnfecteerde versie van) MiroTalk, gehost op mirotalk(.)net, te downloaden en uit te voeren,” aldus Wardle.
Een analyse van het niet-ondertekende DMG-bestand onthult dat het de diefstal van gegevens van webbrowsers zoals Google Chrome, Brave en Opera, cryptocurrency wallets en iCloud Keychain faciliteert. Bovendien is het ontworpen om extra Python-scripts te downloaden en uit te voeren vanaf een externe server (d.w.z. InvisibleFerret).
“De Noord-Koreaanse hackers zijn een sluwe groep die behoorlijk bedreven is in het hacken van macOS-doelen, ook al baseren ze hun techniek vaak op social engineering (en zijn ze technisch gezien dus niet erg indrukwekkend)”, aldus Wardle.
De onthulling volgt nadat Phylum een nieuw schadelijk npm-pakket met de naam call-blockflow heeft ontdekt. Dit pakket is vrijwel identiek aan het legitieme call-bind, maar bevat complexe functionaliteit om een extern binair bestand te downloaden en is tegelijkertijd zorgvuldig ontworpen om onopgemerkt te blijven.
“Bij deze aanval is het call-bind-pakket niet gecompromitteerd, maar het bewapende call-blockflow-pakket kopieert alle betrouwbaarheid en legitimiteit van het origineel om het succes van de aanval te vergroten”, aldus een verklaring die is gedeeld met The Hacker News.
Het pakket, waarvan wordt vermoed dat het het werk is van de aan Noord-Korea gelinkte Lazarus Group en dat ongeveer anderhalf uur na het uploaden naar npm ongepubliceerd bleef, trok in totaal 18 downloads. Bewijs suggereert dat de activiteit, die bestaat uit meer dan drie dozijn kwaadaardige pakketten, sinds september 2023 in golven gaande is.
“Deze pakketten zouden, na installatie, een extern bestand downloaden, het decoderen, een geëxporteerde functie ervan uitvoeren en vervolgens hun sporen nauwkeurig wissen door bestanden te verwijderen en hernoemen,” aldus het software supply chain security bedrijf. “Hierdoor bleef de pakketdirectory in een ogenschijnlijk onschuldige staat na installatie.”
Het volgt ook op een waarschuwing van JPCERT/CC, waarin gewaarschuwd wordt voor cyberaanvallen die georkestreerd worden door de Noord-Koreaanse Kimsuky-actor en die gericht zijn op Japanse organisaties.
Het infectieproces begint met phishingberichten die zich voordoen als beveiligings- en diplomatieke organisaties en die een schadelijk uitvoerbaar bestand bevatten. Wanneer u het bericht opent, wordt er een Visual Basic Script (VBS) gedownload. VBS haalt vervolgens een PowerShell-script op om informatie over gebruikersaccounts, systemen en netwerken te verzamelen en bestanden en processen op te sommen.
De verzamelde informatie wordt vervolgens doorgestuurd naar een command-and-control (C2)-server, die reageert met een tweede VBS-bestand. Dat bestand wordt vervolgens uitgevoerd om een PowerShell-gebaseerde keylogger met de naam InfoKey op te halen en uit te voeren.
“Hoewel er weinig meldingen zijn van aanvallen door Kimsuky op organisaties in Japan, bestaat de mogelijkheid dat Japan ook actief wordt aangevallen”, aldus JPCERT/CC.
