Dal 2024, i ricercatori di ESET hanno osservato una serie di attività malevole allineate alla Corea del Nord, in cui gli operatori, fingendosi reclutatori, cercano di ingannare le loro vittime con progetti software che nascondono malware per il furto di informazioni. Questo cluster di attività è stato denominato DeceptiveDevelopment.
Attacco ai freelance con offerte di lavoro false
I cybercriminali spesso si presentano come reclutatori aziendali, attirando le loro vittime con offerte di lavoro fasulle. Quale momento migliore per colpire se non quando la potenziale vittima è distratta dalla possibilità di ottenere un impiego? Gli operatori di DeceptiveDevelopment chiedono ai loro bersagli di eseguire un test di codifica come parte di un falso processo di colloquio, fornendo file ospitati su repository privati su GitHub o piattaforme simili. Purtroppo, questi file sono trojanizzati: una volta scaricato ed eseguito il progetto, il computer della vittima viene compromesso con il malware di prima fase, BeaverTail.
Analisi delle famiglie di malware
Descritta pubblicamente per la prima volta da Phylum e Unit 42 nel 2023, DeceptiveDevelopment è stata documentata anche con i nomi Contagious Interview e DEV#POPPER. Abbiamo condotto ulteriori analisi sui metodi di accesso iniziale, l’infrastruttura di rete e il set di strumenti degli operatori, inclusi nuovi aggiornamenti delle due famiglie di malware utilizzate: InvisibleFerret e il già menzionato BeaverTail.
Obiettivi e metodi di attacco
DeceptiveDevelopment prende di mira sviluppatori software freelance attraverso spearphishing su siti di ricerca lavoro e freelance, con l’obiettivo di rubare portafogli di criptovalute e informazioni di accesso da browser e gestori di password. Attiva almeno dal novembre 2023, questa operazione utilizza principalmente due famiglie di malware: BeaverTail (infostealer, downloader) e InvisibleFerret (infostealer, RAT).
Strategie e infrastruttura
Abbiamo osservato per la prima volta la campagna DeceptiveDevelopment all’inizio del 2024, quando abbiamo scoperto progetti trojanizzati ospitati su GitHub con codice malevolo nascosto alla fine di lunghi commenti, spostando efficacemente il codice fuori dallo schermo. Questi progetti distribuivano i malware BeaverTail e InvisibleFerret. Oltre ad analizzare le due famiglie di malware, abbiamo iniziato a investigare l’infrastruttura C&C dietro la campagna. Da allora, abbiamo monitorato questo cluster e i suoi progressi nella strategia e negli strumenti utilizzati in questi attacchi in corso.
Profilo di DeceptiveDevelopment
DeceptiveDevelopment è un cluster di attività allineato alla Corea del Nord che attualmente non attribuiamo a nessun attore di minaccia noto. Gli operatori dietro DeceptiveDevelopment prendono di mira sviluppatori software su Windows, Linux e macOS. Rubano principalmente criptovalute per guadagno finanziario, con un possibile obiettivo secondario.
Fonte: We Live Security
Ricevi le ultime attualità sul mondo tech!
