BeaverTail: бобр-шпион прогрызает путь в экосистему Apple

Исследователи кибербезопасности из Objective-See обнаружили обновлённый вариант известного вредоносного ПО, связанного с хакерами из Северной Кореи, которое используется для кибершпионажа, нацеленного на соискателей работы.

Выявленный экспертами вредоносный файл представляет собой образ диска Apple macOS ( DMG ) под названием «MiroTalk.dmg». Он имитирует легитимный сервис видеозвонков, но на самом деле служит для доставки вредоносной программы под названием BeaverTail, сообщил исследователь безопасности Патрик Уордл.

BeaverTail — это вредоносное ПО на JavaScript, впервые задокументированное специалистами Palo Alto Networks в ноябре 2023 года. Вредонос был выявлен в рамках расследования злонамеренной кампании под названием Contagious Interview, нацеленной на заражение разработчиков программного обеспечения через процесс фиктивного собеседования. Компания Securonix отслеживает аналогичную активность под именем DEV#POPPER.

Кроме кражи конфиденциальной информации из веб-браузеров и криптовалютных кошельков, BeaverTail может доставлять дополнительные вредоносные компоненты, такие как InvisibleFerret, бэкдор на Python, который скачивает AnyDesk для постоянного удалённого доступа к целевой системе.

Ранее BeaverTail распространялся через поддельные пакеты, размещённые на GitHub и в реестре npm. Новые данные показывают смену вектора распространения. «Вероятно, хакеры из Северной Кореи предложили своим потенциальным жертвам присоединиться к собеседованию, скачав и запустив заражённую версию MiroTalk, размещённую на mirotalk[.]net», — предположил Уордл.

Анализ DMG-файла показал, что он крадёт данные из криптовалютных кошельков, связки ключей iCloud и браузеров, таких как Google Chrome, Brave и Opera. Он также загружает и выполняет дополнительные скрипты на Python с удалённого сервера.

«Северокорейские хакеры ловки и довольно опытны в атаках на macOS, хотя их методы часто основаны на социальной инженерии и технически не впечатляют», — отметил Уордл.

Рассмотренная вредоносная кампания подчёркивает важность бдительности в цифровом мире, особенно при поиске работы, ведь злоумышленники постоянно совершенствуют свои методы, используя доверие людей и их стремление к трудоустройству.

Чтобы защитить себя, необходимо критически оценивать любые предложения и файлы, связанные с собеседованиями, и всегда проверять подлинность источников перед установкой программного обеспечения, даже если оно кажется легитимным.