A Contagious Interview kampány folytatódik
2023 novemberében a Palo Alto Unit 42 felfedezte, hogy észak-koreai fenyegető szereplők a Contagious Interview és a WageMole kampányokat arra használták, hogy távmunka lehetőségeket szerezzenek nyugati országokban, és így kijátsszák az Észak-Korea elleni pénzügyi szankciókat. A Contagious Interview kampány az adatlopásra összpontosít, míg a WageMole az ellopott adatokat más social engineering technikákkal együtt arra használáka, hogy a fenyegető szereplők távmunkákat szerezzenek.
A Zscaler ThreatLabz nemrégiben felfedezte, hogy a kiberszereplők tovább frissítették a Contagious Interview kampány taktikáját, javítva a szkriptek obfuszkálását fejlett technikákkal és dinamikus betöltéssel. A kiberszereplők azzal is bővítették arzenáljukat, hogy fertőzési láncaikban mind a Windows, mind a macOS alkalmazásformátumokat támogatták, miközben alapvető képességeiket megőrizték. A telepített BeaverTail (JavaScript) és InvisibleFerret (Python) szkriptek megfigyelésével a kutatók megerősítették, hogy a támadók forráskódot, kriptopénzadatokat és személyes információkat loptak az áldozatoktól. A kiberszereplőknek rövid időn belül több, mint 100 eszközt sikerült megfertőzniük több operációs rendszeren keresztül. A Zscaler blogbejegyzése elmerül a Contagious Interview szkripteken végrehajtott fejlesztésekben, a támogatott új formátumokban, és betekintést nyújt a kampány áldozatainak sorába.
A kiberszereplő agresszívan lép kapcsolatba a potenciális áldozatokkal közösségi média platformokon keresztül, a webes, kriptopénz és mesterséges intelligencia fejlesztőkre összpontosítva. Emellett a kiberszereplő nagymértékben támaszkodik rosszindulatú fájlok elhelyezése céljából az olyan platformokra , mint a GitHub, a GitLab és a BitBucket.
A Contagious Interview kezdeti fertőzési módszerét a biztonsági iparág már jól dokumentálta. A ThreatLabz azóta újabb Contagious Interview kampánytámadásokat figyelt meg, amelyek során a kiberszereplő részmunkaidős munkaerő-kölcsönző platformokon, például a Freelancer-en hirdetett meg álláslehetőséget teljes körű fejlesztők számára. Az állásinterjú részeként a jelentkezőket arra kérték, hogy oldjanak meg egy kódolási problémát a GitHubon, és küldjék el az eredményeiket. A támadó által ellenőrzött GitHub adattár azonban „BeaverTail” nevű rosszindulatú JavaScript-kódot tartalmazott.
