Os cibercriminosos por trás de uma campanha de malware em andamento, que tem como alvo desenvolvedores de software, estão expandindo suas táticas e malwares para atacar sistemas Windows, Linux e macOS. Conhecidos como DEV#POPPER e vinculados à Coreia do Norte, esses agentes de ameaça têm identificado vítimas na Coreia do Sul, América do Norte, Europa e Oriente Médio.
"Essa forma de ataque é uma engenharia social avançada, projetada para manipular indivíduos a divulgarem informações confidenciais ou realizarem ações que normalmente não fariam", afirmam Den Iuzvyk e Tim Peck, pesquisadores da Securonix em um relatório.
A campanha de malware DEV#POPPER engana desenvolvedores de software para baixar um software malicioso hospedado no GitHub, sob o pretexto de uma entrevista de emprego. Essa operação apresenta semelhanças com a campanha "Contagious Interview", rastreada pela Unidade 42 da Palo Alto Networks.
No início deste mês, sinais de um escopo mais amplo e multiplataforma da campanha foram detectados, quando pesquisadores descobriram artefatos direcionados ao Windows e macOS, contendo uma versão atualizada de um malware conhecido como BeaverTail.
A cadeia de ataque documentada pela Securonix revela que os agentes se apresentam como entrevistadores e solicitam aos candidatos que baixem um arquivo ZIP para uma tarefa de codificação. Dentro do arquivo está um módulo npm que, uma vez instalado, aciona a execução de um JavaScript ofuscado (BeaverTail) que identifica o sistema operacional em uso e estabelece contato com um servidor remoto para exfiltração de dados.
Além disso, esse malware é capaz de baixar cargas úteis adicionais, como o backdoor Python "InvisibleFerret", projetado para coletar metadados detalhados do sistema, acessar cookies armazenados em navegadores da web, executar comandos, transferir arquivos e registrar pressionamentos de teclas e conteúdos da área de transferência.
As amostras recentes do malware exibem novos recursos, como ofuscação aprimorada, uso do software de monitoramento remoto AnyDesk para persistência e melhorias no mecanismo FTP utilizado para exfiltração de dados.
O script Python também atua como um canal para executar scripts auxiliares que roubam informações de navegadores como Google Chrome, Opera e Brave, em diferentes sistemas operacionais.
"Essa sofisticada extensão da campanha DEV#POPPER continua a utilizar scripts Python para realizar ataques em múltiplos estágios, focados na exfiltração de informações confidenciais das vítimas, agora com recursos ainda mais robustos", concluem os pesquisadores.
Via - THN
Comments