Hackers norcoreanos se hacen pasar por entrevistadores de desarrolladores y logran que estos instalen el virus. Un nuevo nivel de ingeniería social.
Hasta dónde llegan los hackers por tu dinero
El grupo norcoreano Void Dokkaebi cambió la forma de distribuir el malware InvisibleFerret para que sea más difícil de detectar por las defensas. Ahora el código malicioso ya no se difunde como scripts Python comunes, que se pueden revisar rápidamente por su texto. Los atacantes lo convirtieron en módulos compilados, por lo que las reglas antiguas de búsqueda pueden no funcionar.
Void Dokkaebi, también conocida como Famous Chollima, lleva tiempo atacando a desarrolladores de software. El grupo se hace pasar por reclutadores de empresas relacionadas con criptomonedas e inteligencia artificial y luego ofrece a las víctimas descargar y ejecutar código supuestamente como parte de una entrevista. Este enfoque es especialmente peligroso para desarrolladores que tienen acceso a billeteras de criptomonedas, claves de firma, sistemas de compilación e infraestructura de trabajo empresarial.
Especialistas de TrendAI Research investigaron que InvisibleFerret ahora se ofusca con Cython. Esta herramienta traduce código Python a C o C++ y luego lo compila en binarios. En Windows el malware se distribuye como archivos .pyd y en macOS como archivos .so. Esos módulos no se ejecutan por sí solos, por lo que la cadena de infección crea un script Python separado que carga y ejecuta el módulo malicioso.
El principal problema para los defensores es que la verificación solo de los scripts Python ya no basta. Las direcciones de los servidores de control y los puertos a veces se pueden extraer de los archivos compilados, pero parte de los datos se transmite en tiempo de ejecución a través de un script separado. Sin ese script, puede ser imposible determinar el servidor de mando real.
Otro componente de la campaña, BeaverTail, también cambió. Antes principalmente robaba datos e instalaba InvisibleFerret, y ahora adquirió funciones que en parte replican las capacidades de InvisibleFerret. BeaverTail puede recopilar datos de navegadores, robar información relacionada con billeteras de criptomonedas, descargar módulos adicionales e instalar extensiones de navegador falsificadas.
InvisibleFerret mantiene las funciones peligrosas anteriores. El malware puede abrir acceso remoto, robar credenciales de navegadores, vigilar el portapapeles, registrar pulsaciones de teclas y buscar datos de billeteras de criptomonedas. Un módulo separado en macOS instala extensiones falsificadas para Chrome y Brave Browser, incluidas MetaMask, Coinbase Wallet y Phantom.
Para que funcionen las extensiones falsas, los atacantes incluso degradan la versión de Chrome en macOS. Con ello intentan eludir la transición de Google al nuevo estándar de extensiones Manifest V3, que limita capacidades necesarias para intervenir en el funcionamiento de las billeteras. Las versiones antiguas del navegador con soporte para Manifest V2 ofrecen a los atacantes más margen de maniobra.
A pesar de la transición a módulos compilados, InvisibleFerret no se volvió completamente invisible. En los archivos quedan rastros de compilación, nombres de módulos, cadenas, rutas del entorno de desarrollo y otros artefactos. A partir de ellos se puede reconstruir parte de la estructura interna, encontrar variantes del malware y extraer datos sobre la infraestructura de los atacantes.
Los especialistas también opinan que la migración a Cython aún no está completa. En uno de los componentes quedaron partes sin terminar y código antiguo, por lo que la ejecución puede finalizar con error. Esto indica que Void Dokkaebi continúa perfeccionando la integración entre BeaverTail e InvisibleFerret.
Las organizaciones donde los desarrolladores trabajan con servicios de criptomonedas, claves de firma, sistemas de compilación e infraestructura de producción ahora deben tener en cuenta no solo los scripts Python, sino también las extensiones compiladas de Python. Merecen atención los archivos sospechosos .pyd y .so, los scripts temporales de arranque, la manipulación de extensiones de navegador y los intentos de degradar la versión de Chrome.