La campaña DEV#POPPER, con sede en Corea del Norte, está de regreso, con un arsenal actualizado de malware e ingeniería social que utiliza para atacar a desarrolladores de software de todo el mundo para robar datos.
Esto es según un estudio realizado por el equipo de investigación de amenazas de Securonix, que encontró en un análisis realizado hoy que grupo de amenaza conocido está lanzando una red más amplia que nunca, habiendo agregado variantes de Linux y macOS a su conjunto de herramientas de malware además de su binario de Windows existente.
La campaña, que anteriormente se centraba principalmente en Corea del Sur, se ha expandido a nivel mundial y también está activa en Europa, Oriente Medio y América del Norte.
No está claro qué nivel de orientación específica utiliza la campaña, pero existe cierta superposición con otros esfuerzos publicitarios. Actores norcoreanos recurren al reclutamiento falso en ataques patrocinados por el Estado.
“Me imagino que el objetivo final de los atacantes es llevar a cabo una operación exitosa contra un individuo en un punto final corporativo o de propiedad de la empresa”, dijo Tim Peck, investigador senior de amenazas de Securonix. “Dependiendo del malware utilizado, su objetivo principal es el robo. Normalmente, en los ataques con motivación financiera, vemos que se utiliza ransomware o criptomineros. »
Diríjase a los desarrolladores con ingeniería social
Para atraer a sus víctimas, los actores de amenazas DEV#POPPER se hacen pasar por reclutadores que buscan contratar desarrolladores de software para puestos inexistentes. Cuando alguien presenta su solicitud, envía al objetivo un archivo .ZIP que dice ser un paquete npm para probar las habilidades de codificación del solicitante.
“El uso de entrevistas de práctica facilita que los atacantes ejecuten código malicioso en el sistema del entrevistado”, señala Peck. “Dada la naturaleza práctica de las entrevistas a los desarrolladores, no es raro que se les pida que compilen o ejecuten código, a diferencia de la mayoría de los otros tipos de entrevistas. En tal caso de uso, esto generalmente no despierta sospechas en el entrevistado. »
Cuando el encuestado extrae y ejecuta el contenido del paquete, se ejecuta una línea de código JavaScript bien oculta, lo que desencadena la cadena de infección, explican los investigadores en su análisis de la campaña. “El archivo .ZIP contiene docenas de archivos legítimos, lo que dificulta identificar una posible actividad maliciosa si un antivirus instalado no lo detecta. »
Por cierto, es posible que el antivirus no lo detecte: el archivo malicioso, que se oculta de varias maneras, actualmente sólo tiene una tasa de detección de proveedores de 3/64 en VirusTotal. Publicación del blog de Securonix lanzado hoy.
El nivel de astucia de las estafas es notable: “En este ataque en particular, los medios que los malos actores utilizaron para llevar a cabo su plan de ingeniería social son bastante audaces”, dice Peck. “Si lo piensas bien, la cantidad de trabajo necesaria para organizar entrevistas de trabajo falsas va mucho más allá de las acciones de compromiso tradicionales como el envío de correos electrónicos de phishing, por ejemplo. »
Rutina de ciberataque y malware actualizado de DEV#POPPER
Según Securonix, la estrategia antimalware ahora no sólo es multiplataforma, sino que también es más sofisticada que su predecesora.
Después de desenmascarar el script, los investigadores pudieron detectar la dirección de comando y control (C2) de la campaña, así como una serie de funciones maliciosas. Entre ellas, una nueva función principal, llamada “M”, organiza la extracción de datos y la ejecución de código en diferentes sistemas operativos.
“Comienza identificando la plataforma, construye rutas y variables, y luego llama a funciones de búsqueda apropiadas basadas en el sistema operativo detectado”, según análisis.
Otras funciones son responsables de enviar los datos robados a C2, recopilar información del sistema y de geolocalización y asignar identificadores únicos a cada host infectado (lo que le permite al servidor saber qué datos provienen de qué máquina). Otra función descarga cargas útiles del siguiente paso, mientras que otra característica nueva realiza un recorrido de directorio, que incluye filtros para excluir ciertos archivos y directorios de la extracción (para que parezcan más legítimos).
Los investigadores de Securonix notaron que después de ejecutar el script en un host comprometido, los atacantes recuperaron una serie de cargas útiles adicionales que dieron como resultado una versión actualizada de un script de Python que DEV#POPPER ya había usado. Este script realiza el robo real de varios archivos confidenciales, así como el registro de teclas y la supervisión. Una de las nuevas capacidades es la capacidad de robar cookies del navegador, información de tarjetas de crédito ingresada en sitios web y datos de cualquier extensión del navegador instalada.
“El riesgo de correr este tipo de malware que roba información “Un ataque a un terminal corporativo podría ser catastrófico”, afirma Peck. “Dada la información robada, los actores maliciosos tendrían acceso casi de inmediato a todas las sesiones activas del navegador, cookies y contraseñas del usuario. Además, tendrían acceso remoto a la terminal, lo que les permitiría obtener un punto de apoyo más profundo o intentar moverse lateralmente hacia otros sistemas a los que el usuario podría tener acceso. »
Si bien es difícil para las empresas protegerse contra este tipo de ataques, dado que es posible que no sepan que un objetivo está buscando trabajo, la capacitación en concientización es siempre una opción en el lado defensivo.
“En primer lugar, si eres un empleado y estás haciendo una entrevista para un trabajo, nunca lo hagas en un dispositivo propiedad de la empresa”, advierte Peck. “A continuación, aunque las entrevistas de trabajo suelen ser situaciones estresantes, mantenga una mentalidad de seguridad primero. Los ataques de ingeniería social pueden ser difíciles de detectar, pero si la solicitud parece extraña o fuera de lo normal, no tema retirarse de una solicitud por temor a ser rechazado o hacer que la situación sea embarazosa. »