Se dice que el actor de amenaza vinculado a Corea del Finalidad conocido como escorruador estaba detrás de una utensilio de vigilancia de Android nunca antaño aspecto llamamiento Kospy dirigido a usuarios coreanos e ingleses.
Lookout, que compartió detalles de la campaña de malware, dijo que las primeras versiones se remontan a marzo de 2022. Las muestras más recientes fueron marcadas en marzo de 2024. No está claro qué tan exitosos fueron estos esfuerzos.
«Kospy puede resumir datos extensos, como mensajes SMS, registros de llamadas, ubicación, archivos, audio y capturas de pantalla a través de complementos cargados dinámicamente», dijo la compañía en un prospección.
Los artefactos maliciosos se basan en aplicaciones de servicios públicos en la tienda oficial de Google Play, utilizando el administrador de archivos de nombres, el administrador de teléfonos, el administrador inteligente, la utilidad de modernización de software y la seguridad de Kakao para engañar a los usuarios desprevenidos para que infecten sus propios dispositivos.
Todas las aplicaciones identificadas ofrecen la funcionalidad prometida para evitar elevar sospechas mientras implementan sigilosamente componentes relacionados con el spyware en segundo plano. Desde entonces, las aplicaciones han sido eliminadas del mercado de aplicaciones.
Scarcruft, además llamado APT27 y Reaper, es un congregación cibernético de espionaje patrocinado por el estado de Corea del Finalidad activo desde 2012. Los cadenas de ataque orquestados por el congregación aprovechan principalmente a Rokrat como un medio para cosechar datos confidenciales de los sistemas de Windows. Rokrat se ha adaptado desde entonces a MacOS y Android de Target.
Las aplicaciones de Android maliciosas, una vez instaladas, están diseñadas para contactar a una cojín de datos de la aglomeración Firebase Firestore para recuperar una configuración que contiene la dirección del servidor de comando y control (C2) actual.
Al utilizar un servicio seguro como Firestore como resolución de caída de Dead, el enfoque C2 de dos etapas ofrece flexibilidad y resistor, lo que permite al actor de amenaza cambiar la dirección C2 en cualquier momento y actuar sin ser detectados.
«Luego de recuperar la dirección C2, Kospy asegura que el dispositivo no sea un émulo y que la data contemporáneo haya pasado la data de activación codificada», dijo Lookout. «Esta demostración de data de activación asegura que el spyware no revele su intención maliciosa prematuramente».
Kospy es capaz de descargar complementos adicionales, así como configuraciones para cumplir con sus objetivos de vigilancia. La naturaleza exacta del complemento sigue siendo desconocida ya que los servidores C2 ya no están activos o no responden a las solicitudes del cliente.
El malware está diseñado para resumir una amplia escala de datos del dispositivo comprometido, incluidos mensajes SMS, registros de llamadas, ubicación del dispositivo, archivos en almacenamiento restringido, capturas de pantalla, pulsaciones de teclas, información de red Wi-Fi y la nómina de aplicaciones instaladas. Además está equipado para morder audio y tomar fotos.
Lookout dijo que identificó las superposiciones de infraestructura entre la campaña de Kospy y las previamente vinculadas a otro congregación de piratería norcoreano llamado Kimsuky (además conocido como APT43).
La entrevista contagiosa se manifiesta como paquetes NPM
La divulgación se produce cuando Socket descubrió un conjunto de seis paquetes de NPM que están diseñados para implementar un malware conocido de robo de información llamado Beaverail, que está vinculado a una campaña de Corea del Finalidad en curso rastreada como una entrevista contagiosa. La nómina de paquetes ahora recogidos está a continuación –
- Validador de Buffer
- Yoojae-validator
- empaquetamiento de eventos
- validador de matriz
- dependencia de reacción-dependencia
- autenticador
Los paquetes están diseñados para resumir detalles del entorno del sistema, así como credenciales almacenadas en navegadores web como Google Chrome, Brave y Mozilla Firefox. Además se dirige a las billeteras de criptomonedas, extrayendo Id.json de Solana y Exodus.wallet de Exodus.
«Los seis nuevos paquetes, descargados colectivamente más de 330 veces, imitan de cerca los nombres de bibliotecas ampliamente confiables, empleando una conocida táctica tipográfica utilizada por los actores de amenaza vinculados a Lázaro para engañar a los desarrolladores», dijo el investigador de socket Kirill Boychenko.
«Por otra parte, el congregación APT creó y mantuvo repositorios de GitHub para cinco de los paquetes maliciosos, prestando una apariencia de licitud de código descubierto y aumentando la probabilidad de que el código nocivo se integre en los flujos de trabajo de los desarrolladores».
La campaña de Corea del Finalidad utiliza Rustdoor y Koi Stealer
Los hallazgos además siguen el descubrimiento de una nueva campaña que se ha opuesto dirigida al sector de criptomonedas con un malware MacOS basado en óxido llamado Rustdoor (además conocido como Thiefbucket) y una modificación de macOS previamente indocumentada de una clan de malware conocida como Koi Stealer.
Palo Stop Networks Unit 42 dijo que las características de los atacantes tienen similitudes con la entrevista contagiosa, y que está evaluando con confianza media que la actividad se llevó a mango en nombre del régimen de Corea del Finalidad.
Específicamente, la esclavitud de ataque implica el uso de un esquema de entrevista de trabajo fariseo que, cuando se ejecuta a través de Microsoft Visual Studio, intenta descargar y ejecutar Rustdoor. El malware luego procede a robar contraseñas de la extensión de Google Chrome de LastPass, exfiltrate los datos a un servidor extranjero y descargue dos scripts bash adicionales para rasgar un shell inverso.
La etapa final de la infección implica la recuperación y ejecución de otra carga útil, una interpretación de MacOS de Koi Stealer que se hace advenir por Visual Studio a engañar a las víctimas para que ingresen la contraseña de su sistema, lo que le permite reunir y exfiltrar datos de la máquina.
«Esta campaña destaca los riesgos que se enfrentan las organizaciones en todo el mundo de los elaborados ataques de ingeniería social diseñados para infiltrarse en redes y robar datos confidenciales y criptomonedas», dijeron los investigadores de seguridad Adva Gabay y Daniel Frank. «Estos riesgos se magnifican cuando el perpetrador es un actor de amenaza de estado-nación, en comparación con un cibercrimen de motivación puramente financiera».
