(https://i.postimg.cc/BQSVd6P0/Malware-3.png) (https://postimg.cc/pySCjPBG)
Los actores de amenazas norcoreanos están utilizando un nuevo malware llamado OtterCookie en la campaña Contagious Interview que tiene como objetivo a los desarrolladores de software.
Contagious Interview ha estado activa desde al menos diciembre de 2022, según los investigadores de la empresa de ciberseguridad Palo Alto Networks. La campaña se dirige a los desarrolladores de software con ofertas de trabajo falsas para distribuir malware como BeaverTail e InvisibleFerret.
Un informe de NTT Security Japan señala que la operación Contagious Interview ahora está utilizando un nuevo malware llamado OtterCookie, que probablemente se introdujo en septiembre y con una nueva variante que apareció en la red en noviembre.
Cadena de ataques de OtterCookie
Al igual que en los ataques documentados por los investigadores de Unit42 de Palo Alto Networks, OtterCookie se distribuye a través de un cargador que obtiene datos JSON y ejecuta la propiedad "cookie" como código JavaScript.
NTT afirma que, aunque BeaverTail sigue siendo la carga útil más común, OtterCookie se ha visto en algunos casos implementado junto con BeaverTail o por sí solo.
El cargador infecta los objetivos a través de proyectos Node.js o paquetes npm descargados de GitHub o Bitbucket. Sin embargo, recientemente también se utilizaron archivos creados como aplicaciones Qt o Electron.
Resumen de los últimos ataques de Contagious Interview
(https://i.postimg.cc/x8T9Dz05/Contagious-Interview-attack.png) (https://postimg.cc/346s2W00)
Una vez que se activa en el dispositivo de destino, OtterCookie establece comunicaciones seguras con su infraestructura de comando y control (C2) utilizando la herramienta WebSocket de Socket.IO y espera los comandos.
Los investigadores observaron comandos de shell que realizan robo de datos (por ejemplo, recopilando claves de billeteras de criptomonedas, documentos, imágenes y otra información valiosa).
"La versión de septiembre de OtterCookie ya incluía una funcionalidad incorporada para robar claves relacionadas con billeteras de criptomonedas", explica NTT.
"Por ejemplo, la función checkForSensitiveData usaba expresiones regulares para verificar las claves privadas de Ethereum", señalan los investigadores, y agregan que esto cambió con la variante de noviembre del malware, donde esto se logra a través de comandos de shell remotos.
Información sobre criptomonedas como objetivo
(https://i.postimg.cc/5NyfsLKN/Targeting-cryptocurrency-information.png) (https://postimg.cc/Tp88wLXZ)
La última versión de OtterCookie también puede filtrar datos del portapapeles a los actores de amenazas, que pueden contener información confidencial.
También se detectaron comandos que se suelen utilizar para el reconocimiento, como "ls" y "cat", lo que indica la intención del atacante de explorar el entorno y prepararlo para una infiltración más profunda o un movimiento lateral.
La aparición de nuevo malware y la diversificación de los métodos de infección indican que los actores de amenazas detrás de la campaña Contagious Interview experimentan con nuevas tácticas.
Los desarrolladores de software deben tratar de verificar la información sobre un empleador potencial y tener cuidado al ejecutar código en computadoras personales o de trabajo como parte de una oferta de trabajo que requiera pruebas de codificación.
Fuente:
BleeepingComputer
https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/