Lazarus Group, vinculado a Corea del Norte, ha sido vinculado a una campaña activa que aprovecha las falsas ofertas de trabajo de LinkedIn en los sectores de criptomonedas y viajes para entregar malware capaz de infectar los sistemas operativos Windows, macOS y Linux.
Según la empresa de ciberseguridad Bitdefender, la estafa comienza con un mensaje enviado en una red social profesional, atrayéndolos con la promesa de trabajo remoto, flexibilidad a tiempo parcial y buen salario.
"Una vez que el objetivo expresa interés, se desarrolla el 'proceso de contratación', y el estafador solicita un CV o incluso un enlace personal al repositorio de GitHub", dijo la firma rumana en un informe compartido con The Hacker News.
"Aunque aparentemente inocentes, estas solicitudes pueden servir para propósitos nefastos, como la recolección de datos personales o dar un barniz de legitimidad a la interacción".
Una vez que se obtienen los detalles solicitados, el ataque pasa a la siguiente etapa en la que el actor de amenazas, bajo la apariencia de un reclutador, comparte un enlace a un repositorio de GitHub o Bitbucket que contiene una versión de producto mínimo viable (MVP) de un supuesto proyecto de intercambio descentralizado (DEX) e instruye a la víctima para que lo verifique y brinde sus comentarios.
Dentro del código hay un script ofuscado que está configurado para recuperar una carga útil de la siguiente etapa de api.npoint[.]io, un ladrón de información JavaScript multiplataforma que es capaz de recolectar datos de varias extensiones de billeteras de criptomonedas que pueden estar instaladas en el navegador de la víctima.
El ladrón también funciona como un cargador para recuperar una puerta trasera basada en Python responsable de monitorear los cambios en el contenido del portapapeles, mantener el acceso remoto persistente y eliminar malware adicional.
En esta etapa, vale la pena señalar que las tácticas documentadas por Bitdefender se superponen con un grupo de actividad de ataque conocido denominado Contagious Interview (también conocido como DeceptiveDevelopment y DEV#POPPER), que está diseñado para eliminar un ladrón de JavaScript llamado BeaverTail y un implante de Python conocido como InvisibleFerret.
El malware desplegado mediante el malware Python es un binario .NET que puede descargar e iniciar un servidor proxy TOR para comunicarse con un servidor de comando y control (C2), exfiltrar información básica del sistema y entregar otra carga útil que, a su vez, puede desviar datos confidenciales, registrar pulsaciones de teclas e iniciar un minero de criptomonedas.
La cadena de infección de los actores de amenazas es compleja, contiene software malicioso escrito en múltiples lenguajes de programación y utiliza una variedad de tecnologías, como scripts de Python de múltiples capas que se decodifican y ejecutan recursivamente por sí mismos, un ladrón de JavaScript que primero recopila datos del navegador antes de pasar a otras cargas útiles, y . Stagers basados en NET capaces de deshabilitar herramientas de seguridad, configurar un proxy Tor y lanzar mineros de criptomonedas", dijo Bitdefender.
Fuente: THN (El ladrón de JavaScript multiplataforma apunta a las billeteras de criptomonedas en la nueva campaña de Lazarus Group)
