BeaverTail: el castor espía se abre camino en el ecosistema de Apple
¿Cómo una simple entrevista de trabajo puede convertirse en una operación de robo de datos?
Investigadores de ciberseguridad de Objective-See han descubierto una versión actualizada de un conocido malware vinculado a hackers norcoreanos, utilizado para el ciberespionaje dirigido a solicitantes de empleo.
El archivo malicioso identificado por los expertos es una imagen de disco de Apple macOS (DMG) llamada «MiroTalk.dmg». Imita un servicio legítimo de videollamadas, pero en realidad sirve para entregar un programa malicioso llamado BeaverTail, según informó el investigador de seguridad Patrick Wardle.
BeaverTail es un malware basado en JavaScript, documentado por primera vez por especialistas de Palo Alto Networks en noviembre de 2023. El malware fue detectado como parte de la investigación de una campaña maliciosa llamada Contagious Interview, dirigida a infectar a desarrolladores de software a través de un proceso de entrevista ficticio. La empresa Securonix rastrea una actividad similar bajo el nombre de DEV#POPPER.
Además de robar información confidencial de navegadores web y billeteras de criptomonedas, BeaverTail puede entregar componentes maliciosos adicionales, como InvisibleFerret, un backdoor en Python que descarga AnyDesk para obtener acceso remoto permanente al sistema objetivo.
Anteriormente, BeaverTail se distribuía a través de paquetes falsos alojados en GitHub y en el registro npm. Los nuevos datos muestran un cambio en el vector de distribución. «Probablemente, los hackers norcoreanos ofrecieron a sus víctimas potenciales unirse a una entrevista descargando y ejecutando una versión infectada de MiroTalk alojada en mirotalk[.]net», sugirió Wardle.
El análisis del archivo DMG reveló que roba datos de billeteras de criptomonedas, el llavero de iCloud y navegadores como Google Chrome, Brave y Opera. También descarga y ejecuta scripts adicionales en Python desde un servidor remoto.
«Los hackers norcoreanos son hábiles y bastante experimentados en ataques a macOS, aunque sus métodos a menudo se basan en la ingeniería social y técnicamente no son impresionantes», señaló Wardle.
La campaña maliciosa examinada subraya la importancia de la vigilancia en el mundo digital, especialmente al buscar trabajo, ya que los atacantes constantemente perfeccionan sus métodos, aprovechando la confianza de las personas y su deseo de encontrar empleo.
Para protegerse, es necesario evaluar críticamente cualquier oferta y archivo relacionado con entrevistas de trabajo, y siempre verificar la autenticidad de las fuentes antes de instalar software, incluso si parece legítimo.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla