09/09/24
Группировка Lazarus продолжает активно развивать свою кибератакующую кампанию в 2024 году, используя новые и более изощренные методы. В рамках кампании «Contagious Interview» злоумышленники под видом собеседований на вакансии внедряют вредоносное ПО в системы жертв. Ключевым элементом этой атаки является загрузка проекта на базе Node.js, содержащего малварь под названием BeaverTail, которая затем устанавливает Python-бэкдор InvisibleFerret.
BeaverTail впервые была обнаружена в ноябре 2023 года в виде JavaScript-вредоносного ПО. Однако в 2024 году исследователи обнаружили новую версию для macOS. Кроме того, недавно был выявлен фальшивый Windows-приложение для видеоконференций, замаскированное под легитимную программу, которое также оказалось частью атаки с использованием BeaverTail.
Анализ показал, что Lazarus внедряет свои инструменты через платформы для совместной работы над кодом, такие как GitHub, скрывая вредоносные скрипты внутри легитимных проектов. Эти скрипты загружают основные компоненты BeaverTail, в том числе Python-библиотеки, а также набор скриптов, который исследователи назвали CivetQ. Эти инструменты позволяют атакующим получать доступ к данным из браузеров, красть информацию из менеджеров паролей и криптовалютных кошельков, а также сохранять контроль над зараженными устройствами через AnyDesk.
Вредонос активно развивается: наблюдаются регулярные обновления кода и добавление новых функций, таких как кража данных из браузеров и приложений для двухфакторной аутентификации, расширение списка целей для атак, включая менеджеры паролей и заметки Microsoft Sticky Notes.
