Menace Nord-Coréenne à Travers une Campagne Malveillante
Les acteurs de la menace nord-coréenne ont exploité une fausse application de visioconférence Windows se faisant passer pour FreeConference.com pour infiltrer les systèmes des développeurs dans le cadre d’une campagne financièrement motivée baptisée Contagious Interview.
L’attaque récemment découverte par la société singapourienne Group-IB en août 2024 est une nouvelle indication que cette activité utilise également des installateurs natifs pour Windows et Apple macOS afin de diffuser des malwares.
Le Schéma de l’Attaque
Contagious Interview, également connu sous le nom de DEV#POPPER, est une campagne malveillante orchestrée par un acteur de la menace nord-coréen suivi par CrowdStrike sous le pseudo Famous Chollima. Les chaînes d’attaques commencent par un faux entretien d’embauche, incitant les demandeurs d’emploi à télécharger et exécuter un projet Node.js contenant le malware téléchargeur BeaverTail, qui déploie ensuite un backdoor Python multiplateforme nommé InvisibleFerret, doté de capacités de contrôle à distance, de keylogging et de vol de navigateur.
Quelques itérations de BeaverTail, qui agit également comme un voleur d’informations, se présentent sous la forme de malwares JavaScript, distribués principalement via de faux packages npm dans le cadre d’une prétendue évaluation technique pendant le processus d’entretien.
Évolution de la Campagne
En juillet 2024, les fichiers Windows MSI et Apple macOS DMG se faisant passer pour le légitime logiciel de visioconférence MiroTalk ont été découverts en pleine nature sous une nouvelle forme, agissant comme un canal pour déployer une version mise à jour de BeaverTail. Les dernières découvertes de Group-IB attribuent la campagne au tristement célèbre groupe Lazarus, suggérant que ces acteurs continuent de s’appuyer sur ce mécanisme de distribution spécifique.
C’est notamment une évolution significative, BeaverTail étant désormais configuré pour extraire des données à partir de davantage d’extensions de portefeuille de cryptomonnaie, et implémentant des mécanismes de persistance utilisant AnyDesk.
D’autre part, les fonctionnalités de vol d’informations de BeaverTail sont désormais réalisées à travers un ensemble de scripts Python, collectivement appelé CivetQ, capable de collecter des cookies, des données de navigateur web, des frappes clavier et le contenu du presse-papiers, et de délivrer davantage de scripts.
Conclusion
L’émergence de CivetQ indique une approche modulaire, soulignant que les outils sont en constante évolution depuis quelques mois. Les attaquants s’efforcent d’affiner leurs tactiques pour cibler toujours plus de victimes et d’étendre leur empreinte sur différentes plateformes.
Si cet article vous intéresse, suivez-nous sur Twitter et LinkedIn pour lire plus de contenus exclusifs que nous publions.
Source : thehackernews.com