Software malicioso OtterCookie
Los cibercriminales norcoreanos vinculados a la campaña Contagious Interview han introducido una nueva amenaza basada en JavaScript llamada OtterCookie. Esta campaña, también conocida como DeceptiveDevelopment, emplea sofisticadas tácticas de ingeniería social para distribuir software amenazante bajo la apariencia de herramientas o interacciones legítimas.
Tabla de contenido
La ingeniería social en el centro de una entrevista contagiosa
La campaña Contagious Interview se basa en gran medida en la ingeniería social, en la que los atacantes se hacen pasar por reclutadores. Se aprovechan de personas que buscan oportunidades laborales y las atraen para que descarguen software malicioso durante un proceso de entrevistas inventado. Esto se logra mediante la distribución de aplicaciones de videoconferencia comprometidas o paquetes npm alojados en plataformas como GitHub o registros de paquetes oficiales. Estos métodos han permitido la implementación de familias de malware como BeaverTail e InvisibleFerret.
Rastreando la amenaza
Los investigadores de seguridad, que documentaron por primera vez esta actividad en noviembre de 2023, han rastreado la campaña con el identificador CL-STA-0240. El grupo de piratas informáticos también es conocido por alias como Famous Chollima y Tenacious Pungsan. En septiembre de 2024, los investigadores descubrieron importantes actualizaciones en la cadena de ataque, incluida una versión evolucionada de BeaverTail. Esta actualización introdujo capacidades modulares, delegando sus operaciones de robo de datos a scripts de Python denominados colectivamente CivetQ.
Distinción con la Operación Dream Job
A pesar de sus similitudes con Operation Dream Job, otra campaña cibernética norcoreana relacionada con el empleo, Contagious Interview sigue siendo distinta. Ambas campañas emplean señuelos relacionados con el empleo, pero sus metodologías y conjuntos de herramientas de infección difieren. Esto subraya los diversos enfoques que utilizan los actores de amenazas norcoreanos para atacar a las víctimas.
El papel de OtterCookie en la cadena de ataque actualizada
Los últimos hallazgos han puesto de relieve que OtterCookie es un componente fundamental en el arsenal de Contagious Interview. El malware, introducido en septiembre de 2024, funciona en conjunto con BeaverTail, obteniendo y ejecutando su carga útil a través de un servidor de Comando y Control (C2). Mediante la biblioteca de JavaScript Socket.IO, OtterCookie puede ejecutar comandos de shell para exfiltrar datos confidenciales, como archivos, contenido del portapapeles y claves de billeteras de criptomonedas.
Capacidades en evolución: variantes de OtterCookie
La versión inicial de OtterCookie incorporaba un mecanismo directo de robo de claves de billeteras de criptomonedas dentro de su código base. Sin embargo, una variante revisada, detectada a fines de 2024, trasladó esta función a la ejecución remota a través de comandos de shell. Esta adaptación ilustra los esfuerzos continuos de los atacantes por refinar sus herramientas mientras mantienen una cadena de infección efectiva.
Implicaciones de las actualizaciones continuas de herramientas
La introducción de OtterCookie y sus variantes actualizadas demuestra que la campaña Contagious Interview está lejos de estancarse. Al mejorar sus capacidades de malware y dejar su metodología de ataque prácticamente sin cambios, los actores de amenazas confirman el éxito continuo de la campaña y su adaptabilidad para atacar a víctimas desprevenidas.
