Эксперты по кибербезопасности обнаружили новую вредоносную программу OtterCookie, связанную с северокорейской группировкой Lazarus. Вредонос распространяется через фальшивые предложения о работе на LinkedIn и маскируется под легитимные задания для разработчиков.
Описание
Аналитик угроз Mauro Eldritch раскрыл детали атаки, используя песочницу ANY.RUN. В отличие от традиционных методов заражения, таких как пиратское ПО или заражённые USB-накопители, Lazarus применяет изощрённую социальную инженерию. Жертвам предлагают исправить "незначительный баг" в коде децентрализованного приложения (DApp), предоставляя доступ к чистому репозиторию на Bitbucket. Однако при запуске приложение намеренно вызывает ошибку, которая загружает и исполняет вредоносный код с удалённого API.
OtterCookie написан на обфусцированном JavaScript и нацелен на браузерные данные, macOS-ключи и криптокошельки, включая Solana и Exodus. Собранная информация отправляется на сервер в США через порт 1224, что соответствует шаблонам предыдущих атак Lazarus, таких как InvisibleFerret и Beavertail.
После кражи данных OtterCookie загружает следующий этап атаки - InvisibleFerret, кроссплатформенный троян, использующий легитимные инструменты вроде AnyDesk для сохранения доступа к системе.
Эксперты рекомендуют специалистам из IT, финансов и криптоиндустрии быть особенно осторожными с подозрительными предложениями о работе и тщательно проверять исходный код перед запуском.
Атака демонстрирует, как Lazarus продолжает совершенствовать свои методы, сочетая социальную инженерию с техническими уловками. Вредоносные кампании, такие как Contagious Interview или DevPopper, остаются серьёзной угрозой для профессионалов по всему миру.
Индикаторы компрометации
IPv4
- 135.181.123.177
- 144.172.101.45
Domains
- chainlink-api-v3.cloud
URLs
- http://144.172.101.45:1224/
- http://chainlink-api-v3.cloud/api/
- http://chainlink-api-v3.cloud/api/service/token/56e15ef3b5e5f169fc063f8d3e88288e
- https://bitbucket.org/0xhpenvynb/mvp_gamba/downloads/
SHA256
- 071aff6941dc388516d8ca0215b757f9bee7584dea6c27c4c6993da192df1ab9
- 486f305bdd09a3ef6636e92c6a9e01689b8fa977ed7ffb898453c43d47b5386d
- aa0d64c39680027d56a32ffd4ceb7870b05bdd497a3a7c902f23639cb3b43ba1
- ec234419fc512baded05f7b29fefbf12f898a505f62c43d3481aed90fef33687