In un panorama sempre più complesso di minacce informatiche, gli hacker nordcoreani hanno sviluppato una nuova strategia per colpire i professionisti del settore tecnologico. Questa tattica prevede l'uso di finte interviste di lavoro per distribuire malware cross-platform, una minaccia che ha catturato l'attenzione di esperti di sicurezza e aziende a livello globale. La campagna, nota come "Contagious Interview," è stata identificata dal gruppo Unit 42 di Palo Alto Networks e utilizza tecniche di social engineering altamente sofisticate per ingannare le vittime.

I responsabili della campagna

I responsabili di questa campagna, designati come CL-STA-0240, si spacciano per potenziali datori di lavoro su piattaforme di ricerca lavoro. Invitano i candidati a partecipare a interviste online, durante le quali vengono indotti a scaricare e installare malware. Gli attacchi iniziano con il downloader BeaverTail, progettato per infettare sistemi Windows e macOS, che funge da veicolo per il backdoor InvisibleFerret, basato su Python. Sebbene la campagna sia stata resa pubblica, continua ad avere successo grazie alla sua capacità di sfruttare la fiducia e l'urgenza in contesti professionali.

Analisi dettagliata della campagna

Un'analisi dettagliata di Patrick Wardle e della società Group-IB ha rivelato l'uso di applicazioni di videoconferenza fasulle, come MiroTalk e FreeConference.com, per infiltrarsi nei sistemi dei sviluppatori. Nonostante la campagna sia stata ampiamente analizzata, la tecnica di impersonare reclutatori si dimostra ancora estremamente efficace nel colpire individui ignari delle minacce o che trascurano le pratiche di sicurezza di base durante la ricerca di un lavoro. L'applicazione falsa, sviluppata con il framework Qt, supporta la compilazione multipiattaforma, facilitando il furto di password dei browser e dati da portafogli di criptovaluta.

Aggiornamenti e capacità del malware

Il malware BeaverTail è stato aggiornato per essere meno sospetto e più evasivo, permettendo agli attacchi di essere condotti su una gamma più ampia di vittime senza modificare significativamente le tattiche operative. Oltre a esfiltrare dati verso un server controllato dagli avversari, BeaverTail è in grado di scaricare e eseguire InvisibleFerret, che include funzionalità di controllo remoto, keylogging e furto di credenziali del browser.

Motivazioni e necessità di protezione

Gli attori nordcoreani sono noti per condurre crimini finanziari per sostenere il regime della DPRK, e questa campagna potrebbe avere motivazioni finanziarie, visto che BeaverTail è in grado di rubare dati da tredici diversi portafogli di criptovaluta. La persistenza e l'adattabilità di queste campagne evidenziano la necessità di una consapevolezza e una protezione continua contro le minacce informatiche in evoluzione.