Toborzás – adathalászattal
Az AhnLab Security Emergency Response Center (ASEC) jelentése szerint észak-koreai fenyegetési szereplők újabb támadási kampányt indítottak, amelyben álláshirdetéseknek álcázott adathalász e-maileken keresztül terjesztik a BeaverTail és Tropidoor nevű rosszindulatú programokat.
A támadók a Dev.to nevű fejlesztői közösség nevében küldenek e-maileket, amelyekben egy BitBucket hivatkozást mellékelnek egy állítólagos projekthez. A letöltött projekt fájljai között található a tailwind.config.js nevű, obfuszkált JavaScript fájl, amely valójában a BeaverTail nevű kártevőt rejti. Ez a malware képes webböngészőkből hitelesítési adatokat és kriptovaluta tárcák információit ellopni, valamint további rosszindulatú programokat, például az InvisibleFerretet letölteni és futtatni.
A BeaverTail végrehajtja a car.dll nevű letöltő komponenst is, amely a Tropidoor nevű hátsó ajtót (backdoor) tölti le és futtatja a memóriában. A Tropidoor kapcsolatba lép a támadók vezérlőszervereivel, alapvető rendszerinformációkat gyűjt, és titkosított kommunikációt folytat a szerverekkel. Ez a backdoor különböző parancsokat képes végrehajtani, beleértve fájlok törlését, képernyőképek készítését, folyamatok indítását és leállítását, valamint további kártevők letöltését és futtatását.
Az ASEC jelentése kiemeli, hogy a BeaverTail és a Tropidoor közötti kapcsolat, valamint a hasonló támadási módszerek arra utalnak, hogy ezek a támadások észak-koreai fenyegetési szereplőkhöz köthetők.
