Una nuova versione del malware BeaverTail si sta diffondendo tra chi cerca lavoro nel settore tecnologico. Secondo quanto scoperto da Unit 42, l’attacco fa parte della campagna CL-STA-240 Contagious Interview, dove gli aggressori si fingono reclutatori per infettare i dispositivi dei candidati tramite piattaforme come LinkedIn e X (precedentemente noto come Twitter).
Lanciata e già segnalata inizialmente nel novembre 2023, la campagna ha subito un’evoluzione, con nuove versioni del malware. Tra le più recenti scoperte c’è un nuovo downloader di BeaverTail, compilato con il framework Qt da luglio 2024. Questo sviluppo permette agli attori malevoli di attaccare indistintamente sia macOS che Windows, ampliando il raggio d’azione del malware.
L’attacco è piuttosto subdolo: i criminali si presentano come reclutatori di aziende tech e, attraverso falsi colloqui, spingono le vittime a scaricare file camuffati da applicazioni legittime, come MiroTalk o FreeConference, che in realtà contengono il malware. Durante questi colloqui tecnici online, l’aggressore convince il candidato a eseguire codice malevolo, infettando così il dispositivo.
In un caso documentato da Unit 42, una vittima ha eseguito il codice dannoso in un ambiente virtuale, senza accorgersi che questo si era connesso ai server di comando e controllo (C2) dell’hacker.
Una volta installato, BeaverTail agisce in modo discreto sul dispositivo, rubando informazioni sensibili come password salvate nel browser e dettagli relativi ai portafogli di criptovalute. Questa versione aggiornata del malware ha ampliato la sua capacità di colpire fino a 13 diverse estensioni del browser per portafogli digitali, rispetto alle nove precedenti. Le motivazioni finanziarie dietro queste azioni, spesso associate ad attori informatici nordcoreani, risultano evidenti.
L’attacco non si ferma qui: dopo l’infezione iniziale, il malware distribuisce anche una backdoor chiamata InvisibleFerret, progettata per attività più invasive come il keylogging, l’esfiltrazione di file e persino il download di software di controllo remoto come AnyDesk.
Oltre ai danni personali, questi attacchi possono rappresentare un grave rischio per le aziende. Se un dispositivo aziendale viene infettato, c’è il potenziale per compromettere dati sensibili dell’organizzazione stessa, esfiltrati senza che nessuno se ne accorga.
Gli esperti di Unit 42 avvertono che il malware è in continua evoluzione, e gli aggressori perfezionano i loro metodi tra un attacco e l’altro, rendendo sempre più difficile riconoscere e prevenire queste minacce.
Sia chi cerca lavoro che le organizzazioni devono essere particolarmente cauti durante il processo di reclutamento. L’Unità 42 consiglia di prestare attenzione ai segnali di attacchi di ingegneria sociale e di essere vigili per non cadere vittime di trappole così sofisticate.
https://www.infosecurity-magazine.com/news/beavertail-malware-job-seekers/