Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant COVERTCATCH

Logiciel malveillant COVERTCATCH

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT), Logiciels malveillants pour Mac
Se traduisent par :
Français

Des pirates nord-coréens ont été découverts en train d'exploiter LinkedIn pour cibler des développeurs par le biais de faux programmes de recrutement. Une tactique clé consiste à utiliser des tests de codage comme méthode d'infection initiale. Après avoir engagé la cible dans une conversation, l'attaquant envoie un fichier ZIP déguisé en défi de codage Python, qui contient en réalité le malware COVERTCATCH. Une fois exécuté, ce malware lance une attaque sur le système macOS de la cible, téléchargeant une charge utile de deuxième étape pour établir la persistance à l'aide d'agents de lancement et de démons de lancement.

La Corée du Nord reste un acteur majeur de la cybercriminalité

Il ne s’agit là que d’un exemple parmi d’autres d’activités telles que l’opération « Dream Job » et « Contagious Interview », menées par des groupes de pirates informatiques nord-coréens utilisant des leurres liés à l’emploi pour diffuser des logiciels malveillants.

Les tactiques de recrutement ont également été couramment utilisées pour déployer des familles de malwares comme RustBucket et KANDYKORN . À l'heure actuelle, on ne sait pas si COVERTCATCH est lié à ces derniers ou au nouveau TodoSwift .

Des chercheurs ont identifié une campagne d'ingénierie sociale dans laquelle un PDF corrompu était déguisé en description de poste pour un « vice-président des finances et des opérations » dans une importante bourse de cryptomonnaies. Ce PDF a laissé tomber un malware de deuxième étape appelé RustBucket, une porte dérobée basée sur Rust qui prend en charge l'exécution de fichiers.

L'implant RustBucket peut collecter des informations système de base, communiquer avec une URL spécifiée et établir la persistance via un agent de lancement qui se fait passer pour une « mise à jour Safari », lui permettant de contacter un domaine de commande et de contrôle (C2) codé en dur.

Les groupes de hackers nord-coréens continuent d'évoluer

L'attention portée par la Corée du Nord aux organisations Web3 va au-delà de l'ingénierie sociale et inclut les attaques de la chaîne d'approvisionnement logicielle, comme le démontrent les incidents récents impliquant 3CX et JumpCloud. Une fois que les attaquants ont établi un accès via un logiciel malveillant, ils se tournent vers les gestionnaires de mots de passe pour collecter des identifiants, effectuent une reconnaissance interne via des référentiels de code et de la documentation, et infiltrent des environnements d'hébergement cloud pour découvrir des clés de portefeuille chaudes et, au final, drainer des fonds.

Cette révélation intervient alors qu'un avertissement a été émis par le Federal Bureau of Investigation (FBI) américain à propos des acteurs de la menace nord-coréenne ciblant l'industrie des cryptomonnaies avec des campagnes d'ingénierie sociale hautement spécialisées et difficiles à détecter.

Ces opérations se font souvent passer pour des agences de recrutement ou des personnes connues, en leur proposant des opportunités d’emploi ou d’investissement. De telles tactiques servent de passerelle à des vols de cryptomonnaies audacieux destinés à générer des revenus illicites pour la Corée du Nord, qui reste soumise à des sanctions internationales.

Les acteurs de la menace utilisent des tactiques personnalisées pour infecter leurs cibles

Les principales tactiques utilisées par ces acteurs incluent :

  • Cibler les entreprises liées à la cryptomonnaie.
  • Effectuer des recherches pré-opérationnelles approfondies sur leurs victimes avant d’établir le contact.
  • Créer des faux scénarios hautement personnalisés pour augmenter les chances de succès.

Ils peuvent faire référence à des informations personnelles, telles que des centres d'intérêt, des affiliations, des événements, des relations ou des relations professionnelles que la victime pourrait penser être connues uniquement de quelques personnes. Cette approche est conçue pour établir un lien et, en fin de compte, diffuser des programmes malveillants.

S’ils parviennent à établir une communication, l’acteur initial ou un autre membre de l’équipe peut investir beaucoup de temps à interagir avec la victime pour renforcer l’apparence de légitimité et favoriser un sentiment de familiarité et de confiance.

Tendance

Le plus regardé

Chargement...