OtterCookie stealer
Az OtterCookie egy új, északi-koreai Lazarus csoporthoz köthető kártevő, amelyet az ANY.RUN kutatói azonosítottak. Ez a stealer típusú malware célzottan technológiai, pénzügyi és kriptovaluta szektorban dolgozó szakembereket támad meg, különösen azokat, akik frontend vagy decentralizált alkalmazásfejlesztéssel foglalkoznak.
A támadók kifinomult pszichológiai megtéveszti (social engineering) módszereket alkalmaznak, például hamis állásajánlatokat és megbízásokat kínálnak. Egy tipikus forgatókönyvben a célpont egy látszólag ártalmatlan hibajavítást kap egy Bitbucket repozitóriban tárolt Node.js projektben. A kód első pillantásra tisztának tűnik, azonban egy obfuszkált JavaScript szkriptet tartalmaz, amely egy külső API-ról tölt le és hajt végre kártékony payloadot.
Az OtterCookie célja a különböző hitelesítési adatok megszerzése, beleértve a böngészők mentett jelszavait, a macOS kulcstartóban tárolt adatokat, valamint a kriptotárcák, például a Solana és az Exodus hozzáférési információit. Az ellopott adatokat a malware a 1224-es porton keresztül egy amerikai székhelyű C2-re továbbítja, hasonlóan a Lazarus korábbi kampányaihoz, mint például a Beavertail és az InvisibleFerret.
Az OtterCookie különlegessége, hogy nem igényel helyi telepítést; a kártékony kódot dinamikusan tölti le és hajtja végre a require függvény segítségével. Ez a technika megnehezíti a hagyományos antivírus rendszerek számára a fenyegetés észlelését. A kampány során az OtterCookie végül telepíti az InvisibleFerret nevű modult, amely egy Python-alapú kártevő, és a Lazarus csoport moduláris, többlépcsős támadási stratégiájának része. Ez a megközelítés lehetővé teszi a támadók számára, hogy fokozatosan mélyebb hozzáférést szerezzenek az áldozat rendszeréhez, és elkerüljék a korai észlelést.
A szakembereknek fokozottan figyelniük kell az ismeretlen forrásból érkező állásajánlatokra és megbízásokra, különösen, ha azok kódellenőrzést vagy szoftvertelepítést igényelnek.A biztonsági tudatosság növelése és a gyanús tevékenységek jelentése kulcsfontosságú a hasonló fenyegetések megelőzésében.
