Північнокорейські хакери використовують нове шкідливе програмне забезпечення під назвою OtterCookie у кампанії Contagious Interview, націленій на розробників ПЗ. Про це повідомляє BleepingComputer.
За даними дослідників компанії з кібербезпеки Palo Alto Networks, Contagious Interview активно працює щонайменше із грудня 2022 року. Кампанія націлена на розробників програмного забезпечення з фальшивими пропозиціями про роботу для розповсюдження шкідливих програм, таких як BeaverTail та InvisibleFerret.
У звіті NTT Security Japan зазначається, що операція Contagious Interview тепер використовує нове шкідливе програмне забезпечення під назвою OtterCookie, яке, ймовірно, було представлено у вересні, а новий варіант з’явився в дикій природі у листопаді.
Ланцюг атак OtterCookie
Як і в атаках, задокументованих дослідниками Unit42 Palo Alto Networks, OtterCookie доставляється через завантажувач, який отримує дані JSON і виконує властивість cookie як код JavaScript.
NTT стверджує, що попри те, що BeaverTail залишається найпоширенішим корисним навантаженням, OtterCookie в деяких випадках помічається або розгортається разом із BeaverTail або окремо.
Завантажувач заражає цілі через проєкти Node.js або пакети npm, завантажені з GitHub або Bitbucket. Однак нещодавно також використовувалися файли, створені як програми Qt або Electron.
Після активації на цільовому пристрої OtterCookie встановлює безпечний зв’язок зі своєю інфраструктурою командування та контролю (C2) за допомогою інструменту Socket.IO WebSocket та очікує на команди.
Дослідники помітили команди оболонки, які виконують крадіжку даних. Наприклад, збирають ключі гаманця криптовалюти, документи, зображення та іншу цінну інформацію.
«Вереснева версія OtterCookie вже містила вбудовану функцію для викрадення ключів, пов’язаних із криптовалютними гаманцями», — пояснили у NTT.
«Наприклад, функція checkForSensitiveData використовувала регулярні вирази для перевірки приватних ключів Ethereum», — зазначили дослідники.
Вони додали, що це було змінено у листопадовому варіанті шкідливого програмного забезпечення, де це досягається за допомогою команд віддаленої оболонки.
Остання версія OtterCookie також може передавати дані буфера обміну особам, які можуть містити конфіденційну інформацію.
Команди, які зазвичай використовуються для розвідки, такі як ls і cat, також були виявлені, що вказує на намір зловмисника дослідити оточення та підготувати його для глибшого проникнення або бокового руху.
Поява нового зловмисного програмного забезпечення та диверсифікація методів зараження вказує на те, що загрози, що стоять за кампанією Contagious Interview, експериментують із новою тактикою.
Розробники програмного забезпечення повинні перевірити інформацію про потенційного роботодавця та остерігатися запуску коду на персональних чи робочих комп’ютерах у межах пропозиції про роботу, яка потребує тестування кодування.
Раніше ми повідомляли, що Microsoft більше не підтримує протоколи PPTP та L2TP VPN у Windows Server.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
