Se dice que el actor de amenaza vinculado a Corea del Norte conocido como escorruador estaba detrás de una herramienta de vigilancia de Android nunca antes vista llamada Kospy dirigido a usuarios coreanos e ingleses.
Lookout, que compartió detalles de la campaña de malware, dijo que las primeras versiones se remontan a marzo de 2022. Las muestras más recientes fueron marcadas en marzo de 2024. No está claro qué tan exitosos fueron estos esfuerzos.
«Kospy puede recopilar datos extensos, como mensajes SMS, registros de llamadas, ubicación, archivos, audio y capturas de pantalla a través de complementos cargados dinámicamente», dijo la compañía en un análisis.
Los artefactos maliciosos se basan en aplicaciones de servicios públicos en la tienda oficial de Google Play, utilizando el administrador de archivos de nombres, el administrador de teléfonos, el administrador inteligente, la utilidad de actualización de software y la seguridad de Kakao para engañar a los usuarios desprevenidos para que infecten sus propios dispositivos.
Todas las aplicaciones identificadas ofrecen la funcionalidad prometida para evitar elevar sospechas mientras implementan sigilosamente componentes relacionados con el spyware en segundo plano. Desde entonces, las aplicaciones han sido eliminadas del mercado de aplicaciones.
Scarcruft, también llamado APT27 y Reaper, es un grupo cibernético de espionaje patrocinado por el estado de Corea del Norte activo desde 2012. Los cadenas de ataque orquestados por el grupo aprovechan principalmente a Rokrat como un medio para cosechar datos confidenciales de los sistemas de Windows. Rokrat se ha adaptado desde entonces a MacOS y Android de Target.
Las aplicaciones de Android maliciosas, una vez instaladas, están diseñadas para contactar a una base de datos de la nube Firebase Firestore para recuperar una configuración que contiene la dirección del servidor de comando y control (C2) real.
Al utilizar un servicio legítimo como Firestore como resolución de caída de Dead, el enfoque C2 de dos etapas ofrece flexibilidad y resistencia, lo que permite al actor de amenaza cambiar la dirección C2 en cualquier momento y operar sin ser detectados.
«Después de recuperar la dirección C2, Kospy asegura que el dispositivo no sea un emulador y que la fecha actual haya pasado la fecha de activación codificada», dijo Lookout. «Esta verificación de fecha de activación asegura que el spyware no revele su intención maliciosa prematuramente».
Kospy es capaz de descargar complementos adicionales, así como configuraciones para cumplir con sus objetivos de vigilancia. La naturaleza exacta del complemento sigue siendo desconocida ya que los servidores C2 ya no están activos o no responden a las solicitudes del cliente.
El malware está diseñado para recopilar una amplia gama de datos del dispositivo comprometido, incluidos mensajes SMS, registros de llamadas, ubicación del dispositivo, archivos en almacenamiento local, capturas de pantalla, pulsaciones de teclas, información de red Wi-Fi y la lista de aplicaciones instaladas. También está equipado para grabar audio y tomar fotos.
Lookout dijo que identificó las superposiciones de infraestructura entre la campaña de Kospy y las previamente vinculadas a otro grupo de piratería norcoreano llamado Kimsuky (también conocido como APT43).
La entrevista contagiosa se manifiesta como paquetes NPM
La divulgación se produce cuando Socket descubrió un conjunto de seis paquetes de NPM que están diseñados para implementar un malware conocido de robo de información llamado Beaverail, que está vinculado a una campaña de Corea del Norte en curso rastreada como una entrevista contagiosa. La lista de paquetes ahora recogidos está a continuación –
- Validador de Buffer
- Yoojae-validator
- empaquetamiento de eventos
- validador de matriz
- dependencia de reacción-dependencia
- autenticador
Los paquetes están diseñados para recopilar detalles del entorno del sistema, así como credenciales almacenadas en navegadores web como Google Chrome, Brave y Mozilla Firefox. También se dirige a las billeteras de criptomonedas, extrayendo Id.json de Solana y Exodus.wallet de Exodus.
«Los seis nuevos paquetes, descargados colectivamente más de 330 veces, imitan de cerca los nombres de bibliotecas ampliamente confiables, empleando una conocida táctica tipográfica utilizada por los actores de amenaza vinculados a Lázaro para engañar a los desarrolladores», dijo el investigador de socket Kirill Boychenko.
«Además, el grupo APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, prestando una apariencia de legitimidad de código abierto y aumentando la probabilidad de que el código nocivo se integre en los flujos de trabajo de los desarrolladores».
La campaña de Corea del Norte utiliza Rustdoor y Koi Stealer
Los hallazgos también siguen el descubrimiento de una nueva campaña que se ha encontrado dirigida al sector de criptomonedas con un malware MacOS basado en óxido llamado Rustdoor (también conocido como Thiefbucket) y una variante de macOS previamente indocumentada de una familia de malware conocida como Koi Stealer.
Palo Alto Networks Unit 42 dijo que las características de los atacantes tienen similitudes con la entrevista contagiosa, y que está evaluando con confianza media que la actividad se llevó a cabo en nombre del régimen de Corea del Norte.
Específicamente, la cadena de ataque implica el uso de un proyecto de entrevista de trabajo falso que, cuando se ejecuta a través de Microsoft Visual Studio, intenta descargar y ejecutar Rustdoor. El malware luego procede a robar contraseñas de la extensión de Google Chrome de LastPass, exfiltrate los datos a un servidor externo y descargue dos scripts bash adicionales para abrir un shell inverso.
La etapa final de la infección implica la recuperación y ejecución de otra carga útil, una versión de MacOS de Koi Stealer que se hace pasar por Visual Studio a engañar a las víctimas para que ingresen la contraseña de su sistema, lo que le permite reunir y exfiltrar datos de la máquina.
«Esta campaña destaca los riesgos que se enfrentan las organizaciones en todo el mundo de los elaborados ataques de ingeniería social diseñados para infiltrarse en redes y robar datos confidenciales y criptomonedas», dijeron los investigadores de seguridad Adva Gabay y Daniel Frank. «Estos riesgos se magnifican cuando el perpetrador es un actor de amenaza de estado-nación, en comparación con un cibercrimen de motivación puramente financiera».