Logiciel malveillant OtterCookie
Les cybercriminels nord-coréens liés à la campagne Contagious Interview ont introduit une nouvelle menace basée sur JavaScript appelée OtterCookie. Cette campagne, également connue sous le nom de DeceptiveDevelopment, utilise des tactiques sophistiquées d'ingénierie sociale pour diffuser des logiciels menaçants sous le couvert d'outils ou d'interactions légitimes.
Table des matières
L’ingénierie sociale au cœur de l’entretien contagieux
La campagne Contagious Interview repose en grande partie sur l'ingénierie sociale, les attaquants se faisant passer pour des recruteurs. Ils exploitent les individus à la recherche d'opportunités d'emploi, les incitant à télécharger des logiciels malveillants lors d'un processus d'entretien fabriqué. Ils y parviennent en distribuant des applications de visioconférence compromises ou des packages npm hébergés sur des plateformes comme GitHub ou des registres de packages officiels. De telles méthodes ont permis le déploiement de familles de malwares comme BeaverTail et InvisibleFerret.
Tracer la menace
Les chercheurs en sécurité, qui ont documenté cette activité pour la première fois en novembre 2023, ont suivi la campagne sous l'identifiant CL-STA-0240. Le groupe de pirates est également désigné par des pseudonymes tels que Famous Chollima et Tenacious Pungsan. En septembre 2024, les chercheurs ont découvert des mises à jour importantes de la chaîne d'attaque, notamment une version évoluée de BeaverTail. Cette mise à jour a introduit des capacités modulaires, déléguant ses opérations de vol de données à des scripts Python collectivement appelés CivetQ.
Distinction de l’Opération Dream Job
Malgré ses similitudes avec l’Opération Dream Job, une autre campagne informatique nord-coréenne liée à l’emploi, Contagious Interview reste distincte. Les deux campagnes utilisent des leurres liés à l’emploi, mais leurs méthodes d’infection et leurs outils divergent. Cela souligne les différentes approches utilisées par les acteurs de la menace nord-coréens pour cibler leurs victimes.
Le rôle d’OtterCookie dans la chaîne d’attaque mise à jour
Des découvertes récentes ont mis en évidence qu'OtterCookie est un composant essentiel de l'arsenal de Contagious Interview. Le malware, introduit en septembre 2024, fonctionne en tandem avec BeaverTail, récupérant et exécutant sa charge utile via un serveur de commande et de contrôle (C2). En utilisant la bibliothèque JavaScript Socket.IO, OtterCookie peut exécuter des commandes shell pour exfiltrer des données sensibles telles que des fichiers, le contenu du presse-papiers et les clés de portefeuille de crypto-monnaie.
Évolution des capacités : variantes d’OtterCookie
La version initiale d'OtterCookie intégrait un mécanisme de vol direct de clés de portefeuille de cryptomonnaies dans sa base de code. Cependant, une variante révisée, détectée fin 2024, a déplacé cette fonctionnalité vers l'exécution à distance via des commandes shell. Cette adaptation illustre les efforts continus des attaquants pour affiner leurs outils tout en maintenant une chaîne d'infection efficace.
Conséquences des mises à jour continues des outils
L'introduction d'OtterCookie et de ses variantes mises à jour démontre que la campagne Contagious Interview est loin d'être stagnante. En améliorant leurs capacités de malware tout en laissant leur méthodologie d'attaque largement inchangée, les acteurs de la menace confirment le succès continu de la campagne et sa capacité à cibler des victimes sans méfiance.
