Campanha Contagious Interview e o Malware OtterCookie

Agentes de ameaças norte-coreanos envolvidos na campanha Contagious Interview (também conhecida como DeceptiveDevelopment) foram identificados utilizando um novo malware em JavaScript chamado OtterCookie. A princípio, essa campanha persistente utiliza iscas de engenharia social, onde os hackers frequentemente se passam por recrutadores para atrair vítimas em busca de oportunidades de emprego, induzindo-as a baixar malware disfarçado como parte de um processo de entrevista.

Estratégias de Ataque

A campanha envolve a distribuição de:

• Aplicativos de videoconferência infectados.
• Pacotes npm hospedados no GitHub ou no registro oficial de pacotes.

Esses métodos permitem a implantação de malwares como BeaverTail e InvisibleFerret. Sobretudo, a campanha está sendo monitorada pela Unidade 42 da Palo Alto Networks, que a identificou em novembro de 2023 sob o codinome CL-STA-0240, também referida como Famous Chollima e Tenacious Pungsan.

Evolução do Ataque

Em setembro de 2024, a empresa de segurança cibernética Group-IB documentou mudanças significativas na cadeia de ataque, destacando uma nova versão do BeaverTail. Além disso, essa versão utiliza uma abordagem modular, delegando a funcionalidade de roubo de informações a scripts Python conhecidos coletivamente como CivetQ.

Diferenças de Campanhas

Embora similar em abordagem, o Contagious Interview é distinto da Operação Dream Job, outra campanha de hackers norte-coreanos que também utiliza iscas relacionadas a emprego, mas com diferentes métodos de infecção.

O Malware OtterCookie

Contudo, a empresa japonesa NTT Security Holdings revelou recentemente que o malware JavaScript usado para lançar o BeaverTail também é responsável por implantar o OtterCookie, que foi introduzido em setembro de 2024, com uma nova versão identificada no mês passado.

Funcionamento do OtterCookie

• Estabelece comunicação com servidores de comando e controle (C2) por meio da biblioteca Socket.IO.
• Executa comandos shell para roubo de dados, incluindo:

                    – Arquivos armazenados no dispositivo.
                    – Conteúdo da área de transferência.
                    – Chaves de carteiras de criptomoedas.

A versão inicial do OtterCookie incluía o recurso de roubo de chaves de criptomoedas integrado diretamente ao malware, enquanto a versão mais recente utiliza comandos shell remotos para essa função

Atualizações e Implicações

A contínua evolução do OtterCookie indica um esforço ativo dos agentes de ameaças para melhorar suas ferramentas, enquanto mantém a cadeia de infecção praticamente inalterada. Isso reflete a eficácia da campanha e o potencial para ataques mais sofisticados no futuro.

Conclusão

Em suma, a campanha Contagious Interview e o malware OtterCookie destacam a necessidade de vigilância e de medidas robustas de cibersegurança, especialmente contra ataques direcionados que utilizam engenharia social para comprometer alvos específicos.