Το “DEV#POPPER” Malware στοχεύει προγραμματιστές λογισμικού
Μια νέα εκστρατεία κακόβουλου λογισμικού, που ονομάζεται DEV#POPPER και συνδέεται με τη Βόρεια Κορέα, στοχεύει προγραμματιστές λογισμικού σε συστήματα Windows, Linux και macOS.
Αυτή η επίθεση χρησιμοποιεί τακτικές κοινωνικής μηχανικής για να εξαπατήσει άτομα να κατεβάσουν κακόβουλο λογισμικό που υποδύεται λογισμικό για συνέντευξη εργασίας, με αρκετά θύματα να έχουν εντοπιστεί στη Νότια Κορέα, τη Βόρεια Αμερική, την Ευρώπη και τη Μέση Ανατολή.
Οι ερευνητές της Securonix, Den Iuzvyk και Tim Peck, περιγράφουν το DEV#POPPER ως μια προηγμένη μορφή χειραγώγησης που στοχεύει στην εξαγωγή εμπιστευτικών πληροφοριών από ανυποψίαστα θύματα. Η εκστρατεία έχει συνδεθεί με στοιχεία που παραδίδουν μια ενημερωμένη παραλλαγή κακόβουλου λογισμικού που ονομάζεται BeaverTail, η οποία μπορεί να λειτουργήσει σε πολλές πλατφόρμες. Η επίθεση συνήθως ξεκινά με τους χάκερς να προσποιούνται το HR μιας εταιρείας, οι οποίοι δίνουν οδηγίες στους υποψηφίους να κατεβάσουν ένα αρχείο ZIP που περιέχει ένα npm module. Αυτό το module εκτελεί obfuscated JavaScript που προσδιορίζει το λειτουργικό σύστημα και ξεκινά επικοινωνία με έναν απομακρυσμένο server για να εξάγει πολύτιμα δεδομένα.
Το κακόβουλο λογισμικό μπορεί επίσης να κατεβάσει επιπλέον payloads, όπως ένα Python backdoor γνωστό ως InvisibleFerret, το οποίο μπορεί να συλλέξει μετρητές συστήματος, να αποκτήσει πρόσβαση σε cookies προγράμματος περιήγησης, να εκτελέσει εντολές και να καταγράψει την πληκτρολόγηση του θύματος. Οι πρόσφατες ενημερώσεις του κακόβουλου λογισμικού περιλαμβάνουν προηγμένες τεχνικές obfuscation και στη συνέχεια την ενσωμάτωση του AnyDesk. Το Python script διευκολύνει περαιτέρω την κλοπή ευαίσθητων πληροφοριών από προγράμματα περιήγησης όπως το Google Chrome και το Opera. Αυτή η εξέλιξη της εκστρατείας DEV#POPPER δείχνει μια σημαντική αύξηση στις δυνατότητες των χάκερς, επικεντρώνοντας σε επιθέσεις πολλαπλών σταδίων για την εξαγωγή ευαίσθητων δεδομένων.
