Pelaku ancaman yang memiliki hubungan dengan Korea Utara terlihat menargetkan pencari kerja di industri teknologi untuk mengirimkan versi terbaru dari keluarga malware terkenal yang dilacak sebagai BeaverTail dan InvisibleFerret.
Cluster aktivitas, yang dilacak sebagai CL-STA-0240, adalah bagian dari kampanye yang diberi nama Wawancara Menular yang pertama kali diungkapkan Palo Alto Networks Unit 42 pada November 2023.
“Pelaku ancaman di balik CL-STA-0240 menghubungi pengembang perangkat lunak melalui platform pencarian kerja dengan menyamar sebagai calon pemberi kerja,” kata Unit 42 dalam sebuah laporan baru.
“Penyerang mengundang korban untuk berpartisipasi dalam wawancara online, di mana pelaku ancaman berupaya meyakinkan korban untuk mengunduh dan menginstal malware.”
Tahap pertama infeksi melibatkan pengunduh BeaverTail dan pencuri informasi yang dirancang untuk menargetkan platform Windows dan Apple macOS. Malware tersebut bertindak sebagai saluran untuk pintu belakang InvisibleFerret berbasis Python.
Terdapat bukti yang menunjukkan bahwa aktivitas tersebut tetap aktif meskipun telah diungkapkan kepada publik, yang menunjukkan bahwa pelaku ancaman di balik operasi ini terus meraih kesuksesan dengan membujuk pengembang untuk mengeksekusi kode berbahaya dengan dalih penugasan pengkodean.
Peneliti keamanan Patrick Wardle dan perusahaan keamanan siber Group-IB, dalam dua analisis baru-baru ini, merinci rantai serangan yang memanfaatkan aplikasi konferensi video Windows dan maCOS palsu yang meniru MiroTalk dan FreeConference.com untuk menyusup ke sistem pengembang dengan BeaverTail dan InvisibleFerret.
Yang membuatnya penting adalah aplikasi palsu tersebut dikembangkan menggunakan Qt, yang mendukung kompilasi silang untuk Windows dan macOS. BeaverTail versi berbasis Qt mampu mencuri kata sandi browser dan mengambil data dari beberapa dompet mata uang kripto.
BeaverTail, selain mengeksfiltrasi data ke server yang dikendalikan musuh, dilengkapi untuk mengunduh dan mengeksekusi pintu belakang InvisibleFerret, yang mencakup dua komponennya sendiri –
- Muatan utama yang memungkinkan sidik jari dari host yang terinfeksi, kendali jarak jauh, keylogging, eksfiltrasi data, dan pengunduhan AnyDesk
- Pencuri browser yang mengumpulkan kredensial browser dan informasi kartu kredit
“Pelaku ancaman Korea Utara diketahui melakukan kejahatan keuangan demi mendapatkan dana untuk mendukung rezim DPRK,” kata Unit 42. “Kampanye ini mungkin bermotif finansial, karena malware BeaverTail memiliki kemampuan mencuri 13 dompet mata uang kripto yang berbeda.”
