Corée du Nord : Le logiciel malveillant BeaverTail : : Les chercheurs d'emploi ciblés par Mac

JAKARTA - Les chercheurs en sécurité ont identifié les efforts de pirates parrainés par l’État de Corée du Nord (DPRK) visant à cibler les utilisateurs de Mac avec des voleurs d’informations via les applications de réunion saisies.

Une fois infecté, le malware construira une connexion entre le Mac et le serveur de commandement et de contrôle (C2) de l’attaquant pour extraire des données sensibles telles que l’identification de clés en clés en iCloud. Le malware installe également secrètement l’application de bureau à distance d’AnyDesk et le logiciel de logement de keylogging à l’arrière-plan pour prendre en charge le moteur et collecter les pressions de bouton.

Le malware, une nouvelle variante de la souche connue sous le nom de « BeaverTail », a été rapporté pour la première fois par le malwareHunterTeam dans un post sur X. Bien que BeaverTail soit auparavant un voleur d’informations basé sur le javestik découvert en 2023, maintenant ce malware semble avoir été modifié pour cibler les utilisateurs de Mac avec des images de disques malveillants intitulées « MicroTalk.d MG ».

Le chercheur en sécurité et auteur Patrick Wardle a analysé le malware dans un billet de blog assez complet sur Objective-See. Wardle a découvert que les pirates sont très susceptibles de se déguiser comme chercheurs d’emploi. Ils ont trompé la victime pour télécharger ce qui semblait être la plate-forme officielle de conférence vidéo MiroTalk, par le nom du fichier image de disque « MicroTalk.dMP », mais il s’agit en fait d’un clone contenant des logiciels malveillants cachés.

Ce n’est pas la première fois qu’un informateur nord-coréen s’est propagé en tant que chercheur d’emploi pour cibler des victimes. L’unité 42 de Palo Alto Network a récemment rapporté une histoire similaire intitulée: « Hacking Employers and Seeking Employment: Two Campaigns Related to employs bear Hall of North Korea Threat Actors ».

Selon l’analyse de Wardle, le clone MicroTalk contenant le logiciel malveillant n’a pas été signé ou enregistré avec Apple par un développeur identifié, de sorte que macOS Gatekeuser empêchera l’exécution de l’application. Cependant, l’utilisateur peut surmonter le blocage en cliquant droit et en sélectionnant « Ouvrir » dans le menu de première main.

Une fois infecté, les logiciels malveillants communiquent avec le serveur C2 pour télécharger et extraire des données, y compris la reconnaissance de la clé en iCloud et l’id d’extension du navigateur populaire de portefeuille de crypto, qui peuvent être utilisés pour voler des clés personnelles et des phrases mémoniques.

La chose la plus difficile à comprendre, lorsque des logiciels malveillants ont été découverts la semaine dernière, le logiciel malveillant pouvait passer par des scans antivirus tels que VirusTotal sans être détecté. Les cybercriminels téléchargeeront leurs fichiers d’exécution sur des plateformes comme VirusTotal pour s’assurer que les aspects malveillants sont bien cachés afin qu’ils ne soient pas détectés par des scans populaires. Le manque est que le « bon » peut également les voir.

« Plus spécifiquement à partir de la production de symboles, nous voyons le nom de la méthode ( amendement, pDownFinfied, run) qui révèle la capacité d’excavation et de téléchargement et deexécution », selon un billet sur le blog Objective-See.

« Et d’après le plateau intégré, nous voyons l’adresse du serveur de commandes et de contrôle le plus probablement, 95.164.17.24: 12, ainsi que des indices sur le type d’informations collectées par le malware pour l’exil. En particulier, l’ID d’extension du navigateur des portefeuilles de crypto-monnaie populaires, la voie de données du navigateur des utilisateurs et la clé macOS. D’autres lignes sont liées au téléchargement et à la exécution de charges utiles qui semblent être sous la forme de scripts Pyget dangereux.

Il s’agit peut-être du travail de BlueNoroff, un sous-groupe d’une célèbre société de cybercriminalité d’État, Lazarus Group. Il existe plusieurs cas typiques de BlueNoroff qui contactent souvent des victimes potentielles avec des investisseurs ou des chercheurs d’emploi d’entreprise. Si vous ressemble à des canards, nagez comme des canards et vous ressemble à des canards, alors très probablement, ce sont des canards.