BeaverTail: бобр-шпион прогрызает путь в экосистему Apple

Исследователи кибербезопасности из Objective-See обнаружили обновлённый вариант известного вредоносного ПО, связанного с хакерами из Северной Кореи, которое используется для кибершпионажа, нацеленного на соискателей работы.

Выявленный экспертами вредоносный файл представляет собой образ диска Apple macOS (DMG) под названием «MiroTalk.dmg». Он имитирует легитимный сервис видеозвонков, но на самом деле служит для доставки вредоносной программы под названием BeaverTail, сообщил исследователь безопасности Патрик Уордл.

BeaverTail — это вредоносное ПО на JavaScript, впервые задокументированное специалистами Palo Alto Networks в ноябре 2023 года. Вредонос был выявлен в рамках расследования злонамеренной кампании под названием Contagious Interview, нацеленной на заражение разработчиков программного обеспечения через процесс фиктивного собеседования. Компания Securonix отслеживает аналогичную активность под именем DEV#POPPER.

Кроме кражи конфиденциальной информации из веб-браузеров и криптовалютных кошельков, BeaverTail может доставлять дополнительные вредоносные компоненты, такие как InvisibleFerret, бэкдор на Python, который скачивает AnyDesk для постоянного удалённого доступа к целевой системе.

Ранее BeaverTail распространялся через поддельные пакеты, размещённые на GitHub и в реестре npm. Новые данные показывают смену вектора распространения. «Вероятно, хакеры из Северной Кореи предложили своим потенциальным жертвам присоединиться к собеседованию, скачав и запустив заражённую версию MiroTalk, размещённую на mirotalk[.]net», — предположил Уордл.

Анализ DMG-файла показал, что он крадёт данные из криптовалютных кошельков, связки ключей iCloud и браузеров, таких как Google Chrome, Brave и Opera. Он также загружает и выполняет дополнительные скрипты на Python с удалённого сервера.

«Северокорейские хакеры ловки и довольно опытны в атаках на macOS, хотя их методы часто основаны на социальной инженерии и технически не впечатляют», — отметил Уордл.

Рассмотренная вредоносная кампания подчёркивает важность бдительности в цифровом мире, особенно при поиске работы, ведь злоумышленники постоянно совершенствуют свои методы, используя доверие людей и их стремление к трудоустройству.

Чтобы защитить себя, необходимо критически оценивать любые предложения и файлы, связанные с собеседованиями, и всегда проверять подлинность источников перед установкой программного обеспечения, даже если оно кажется легитимным.