Aktor ancaman Korea Utara telah memanfaatkan aplikasi konferensi video Windows palsu yang meniru FreeConference.com untuk menyusup ke sistem pengembang sebagai bagian dari kampanye berbasis finansial yang dijuluki Contagious Interview.
Gelombang serangan baru, yang ditemukan oleh perusahaan Singapura Group-IB pada pertengahan Agustus 2024, merupakan indikasi lain bahwa aktivitas tersebut juga memanfaatkan penginstal asli untuk Windows dan Apple macOS untuk mengirimkan malware.
Contagious Interview, juga dilacak sebagai DEV#POPPER, adalah kampanye jahat yang diatur oleh aktor ancaman Korea Utara yang dilacak oleh CrowdStrike dengan nama samaran Famous Chollima.
Rangkaian serangan dimulai dengan wawancara kerja fiktif, mengelabui para pencari kerja agar mengunduh dan menjalankan proyek Node.js yang memuat malware pengunduh BeaverTail, yang kemudian mengirimkan InvisibleFerret, pintu belakang Python lintas-platform yang dilengkapi dengan kendali jarak jauh, pencatatan tombol, dan kemampuan mencuri peramban.
Beberapa iterasi BeaverTail, yang juga berfungsi sebagai pencuri informasi, telah terwujud dalam bentuk malware JavaScript, biasanya didistribusikan melalui paket npm palsu sebagai bagian dari penilaian teknis yang diduga selama proses wawancara.
Namun semuanya berubah pada bulan Juli 2024 ketika penginstal Windows MSI dan berkas citra disk (DMG) Apple macOS yang menyamar sebagai perangkat lunak konferensi video MiroTalk yang sah ditemukan di internet, bertindak sebagai saluran untuk menyebarkan versi terbaru BeaverTail.
Temuan terbaru dari Group-IB, yang menghubungkan kampanye tersebut dengan Grup Lazarus yang terkenal kejam, menunjukkan bahwa pelaku ancaman terus mengandalkan mekanisme distribusi khusus ini, satu-satunya perbedaan adalah bahwa penginstal (“FCCCall.msi”) meniru FreeConference.com, bukan MiroTalk.
Dipercayai bahwa penginstal palsu diunduh dari situs web bernama freeconference[.]io, yang menggunakan registrar yang sama dengan mirotalk fiktif[.]situs web .net.
“Selain Linkedin, Lazarus juga aktif mencari calon korban di platform pencarian kerja lain seperti WWR, Moonlight, Upwork, dan lainnya,” kata peneliti keamanan Sharmine Low.
“Setelah melakukan kontak awal, mereka sering kali mencoba mengalihkan percakapan ke Telegram, lalu meminta calon narasumber untuk mengunduh aplikasi konferensi video, atau proyek Node.js, untuk melakukan tugas teknis sebagai bagian dari proses wawancara.”
Sebagai tanda bahwa kampanye tersebut tengah menjalani penyempurnaan aktif, para pelaku ancaman telah terlihat menyuntikkan JavaScript berbahaya ke dalam repositori yang terkait dengan mata uang kripto dan permainan. Kode JavaScript tersebut, pada bagiannya, dirancang untuk mengambil kode JavaScript BeaverTail dari domain ipcheck[.]cloud atau regioncheck[.]bersih.
Perlu disebutkan di sini bahwa perilaku ini juga baru-baru ini disorot oleh firma keamanan rantai pasokan perangkat lunak Phylum sehubungan dengan paket npm bernama helmet-validate, yang menunjukkan bahwa pelaku ancaman secara bersamaan memanfaatkan vektor propagasi yang berbeda.
Perubahan penting lainnya adalah BeaverTail sekarang dikonfigurasi untuk mengekstrak data dari lebih banyak ekstensi dompet mata uang kripto seperti Kaikas, Rabby, Argent X, dan Exodus Web3, selain menerapkan fungsionalitas untuk membangun persistensi menggunakan AnyDesk.
Itu belum semuanya. Fitur pencurian informasi BeaverTail kini diwujudkan melalui serangkaian skrip Python, yang secara kolektif disebut CivetQ, yang mampu mengumpulkan kuki, data peramban web, penekanan tombol, dan konten clipboard, serta mengirimkan lebih banyak skrip. Sebanyak 74 ekstensi peramban menjadi target malware tersebut.
“Malware tersebut dapat mencuri data dari Microsoft Sticky Notes dengan menargetkan file basis data SQLite aplikasi yang terletak di `%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite,` tempat catatan pengguna disimpan dalam format yang tidak terenkripsi,” kata Low.
“Dengan meminta dan mengambil data dari basis data ini, malware dapat mengambil dan mencuri informasi sensitif dari aplikasi Sticky Notes milik korban.”
Munculnya CivetQ menunjukkan pendekatan yang termodulasi, sekaligus menggarisbawahi bahwa alat tersebut sedang dalam pengembangan aktif dan terus berkembang sedikit demi sedikit selama beberapa bulan terakhir.
“Lazarus telah memperbarui taktik mereka, meningkatkan peralatan mereka, dan menemukan cara yang lebih baik untuk menyembunyikan aktivitas mereka,” kata Low. “Mereka tidak menunjukkan tanda-tanda akan mengurangi upaya mereka, dengan kampanye mereka yang menargetkan para pencari kerja yang terus berlanjut hingga tahun 2024 dan hingga saat ini. Serangan mereka menjadi semakin kreatif, dan mereka kini memperluas jangkauan mereka ke lebih banyak platform.”
Pengungkapan itu terjadi saat Biro Investigasi Federal AS (FBI) memperingatkan tentang penargetan agresif pelaku dunia maya Korea Utara terhadap industri mata uang kripto menggunakan serangan rekayasa sosial yang “tersamar” untuk memfasilitasi pencurian mata uang kripto.
“Skema rekayasa sosial Korea Utara rumit dan rumit, sering kali membahayakan korbannya yang memiliki kecerdasan teknis yang canggih,” kata FBI dalam sebuah peringatan yang dirilis hari Selasa, yang menyatakan bahwa pelaku ancaman mengintai calon korban dengan meninjau aktivitas media sosial mereka di jaringan profesional atau platform yang terkait dengan pekerjaan.
“Tim pelaku kejahatan siber Korea Utara mengidentifikasi bisnis-bisnis tertentu yang terkait dengan DeFi atau mata uang kripto untuk ditargetkan dan berupaya merekayasa sosial puluhan karyawan perusahaan-perusahaan ini untuk memperoleh akses tidak sah ke jaringan perusahaan.”