Los actores de amenazas norcoreanos estarían tras una campaña llamada Contagious Interview por la cual distribuyen una colección de cepas de malware para macOS de Apple denominadas FERRET.
Como su propio nombre indica, la campaña se sirve de entrevistas de trabajo falsas para captar a las víctimas.
"Normalmente se les pide a los objetivos que se comuniquen con un entrevistador a través de un enlace que arroja un mensaje de error y una solicitud para instalar o actualizar algún software requerido, como VCam o CameraAccess para reuniones virtuales", han explicado los investigadores de SentinelOne Phil Stokes y Tom Hegel en un nuevo informe.
Contagious Interview fue descubierto por primera vez a finales de 2023 por un equipo de piratas informáticos para entregar malware a posibles objetivos mediante paquetes npm falsos y aplicaciones nativas que se hacen pasar por software de videoconferencia.
La familia de malware FERRET, por su parte, se descubrió por primera vez a finales de 2024, lo que sugiere que los actores de amenazas están perfeccionando activamente sus tácticas para evadir la detección.
Según el investigador de seguridad Taylor Monahan, los ataques surgen cuando los atacantes se acercan a los objetivos en LinkedIn haciéndose pasar por reclutadores e instándolos a completar una evaluación de vídeo.
No obstante, los actores de amenazas están propagando el malware mediante otras vías, como problemas falsos en repositorios legítimos de GitHub.
Otra campaña coreana
Por otro lado, Bitdefender también ha publicado una campaña activa de Lazarus Group (APT38), vinculada a Corea del Norte que está dirigida a organizaciones y busca robar credenciales y lanzar malware mediante ofertas de trabajo de Linkedin.
El 'pastel' fue descubierto porque los cibermalos trataron de engañar a uno de los investigadores de Bitdefender, quien descubrió las intenciones maliciosas.
Más allá de las ofertas de trabajo falsas como gancho, la estafa arranca con una oferta para colaborar en un intercambio de criptomonedas descentralizado. Posteriormente, los ciberdelincuentes piden el currículum del objetivo o en el enlace del repositorio personal de GitHub con el fin de recopilar información.
Posteriormente, los actores de amenazas comparten un repositorio que contiene el producto mínimo viable del proyecto (MVP) y un enlace a una demostración. La víctima es engañada para hacer click en el link y ejecutar código malicioso. Este último contiene una puerta trasera, un ladrón de información, un keylogger y un minero de criptomonedas.