BeaverTail и Tropidoor распространялись через рекрутинговые письма

Жертвам предлагались ссылки на BitBucket, содержащие проекты, в которых были обнаружены вредоносные программы. BeaverTail представляла собой вредоносную программу, скрывающуюся под названием "tailwind.config.js", а Tropidoor был бэкдором, работающим через загрузчик.

Анализ файлов BeaverTail и загрузчика "car.dll" подтвердил, что они используются северокорейскими хакерами для кражи информации и загрузки дополнительного вредоносного ПО. BeaverTail в основном распространяется через фишинговые атаки, замаскированные под предложения о работе, такие как атаки на пользователей LinkedIn. В Корее также были обнаружены случаи распространения BeaverTail, и в проекте были найдены ключевые слова связанных путей установки.

BeaverTail представлен в виде вредоносной программы на JavaScript с обфусцированной рутиной, которая выполнит функции Infostealer и загрузчика. Она нацелена на веб-браузеры и предназначена для кражи учетной информации и данных криптовалютного кошелька, а также загрузки дополнительного вредоносного ПО, вроде InvisibleFerret.

Тropidoor, работающий через загрузчик, представляет собой бэкдор, который пытается подключиться к адресам C&C-серверов. Он собирает информацию о системе, генерирует случайный ключ и передает его зашифрованным открытым ключом RSA. Он также выполняет команды, полученные от C&C-сервера и отправляет результаты обратно.

Все эти вредоносные программы были обнаружены в проекте, распространяемом через электронные письма от злоумышленников, выдающих себя за рекрутеров.

IPv4

• 135.181.242.24
• 191.96.31.38

URLs

• http://103.35.190.170/Proxy.php
• http://86.104.72.247/Proxy.php
• https://45.8.146.93/proxy/Proxy.php
• https://86.104.72.247/proxy/Proxy.php

MD5

• 3aed5502118eb9b8c9f8a779d4b09e11
• 84d25292717671610c936bca7f0626f5
• 94ef379e332f3a120ab16154a7ee7a00
• b29ddcc9affdd56a520f23a61b670134