A partire dallo scorso anno i ricercatori ESET hanno scoperto il nuovo cluster d’attacco DeceptiveDevelopment che ha come obiettivo gli sviluppatori software freelance. Si tratta di una serie di attività malevole riconducibili alla Corea del Nord, in cui gli attaccanti, fingendosi recruiter nel settore dello sviluppo software, attirano le vittime con false offerte di lavoro. Successivamente, le inducono a scaricare progetti software che nascondono malware progettati per il furto di informazioni.
Cosa succede durante l’attacco
Sebbene riconducibile alla Corea del Nord, ESET non lo attribuisce attualmente a nessun attore delle minacce noto. Agli sviluppatori software freelance, presi di mira attraverso attacchi di spearphishing su siti di ricerca lavoro e piattaforme per freelance, vengono sottratti portafogli di criptovalute e credenziali di accesso da browser e gestori di password.
Come viene compromesso il computer della vittima
Matěj Havránek, ricercatore ESET che ha scoperto e analizzato DeceptiveDevelopment Come parte di un finto processo di selezione, gli operatori di DeceptiveDevelopment chiedono alle vittime di completare un test di programmazione. Ad esempio aggiungendo una funzionalità a un progetto esistente. I file necessari per il compito sono solitamente ospitati su repository privati su GitHub o piattaforme simili. Sfortunatamente per il candidato, questi file contengono codice malevolo. Una volta scaricato ed eseguito il progetto, il computer della vittima viene compromesso.
DeceptiveDevelopment: furto di criptovalute e cyberspionaggio
Le tattiche, tecniche e procedure di DeceptiveDevelopment sono simili a quelle di altre operazioni note riconducibili alla Corea del Nord. Gli attaccanti prendono di mira sviluppatori su Windows, Linux e macOS, con l’obiettivo primario di rubare criptovalute per fini economici. Con una possibile finalità secondaria di spionaggio informatico. Per entrare in contatto con le vittime, gli operatori creano profili falsi di recruiter sui social media. L’attacco non è mirato a una specifica area geografica, ma punta a compromettere il maggior numero possibile di vittime.
ESET individua malware e frodi
Aumentando in questo modo le probabilità di sottrarre fondi e informazioni. DeceptiveDevelopment utilizza principalmente due famiglie di malware, distribuite in due fasi. Nella prima fase, BeaverTail (infostealer, downloader) estrae i database dei browser contenenti credenziali salvate e funge da downloader per la seconda fase, InvisibleFerret (infostealer, RAT). Quest’ultimo include componenti spyware e backdoor ed è in grado di scaricare il software di gestione remota AnyDesk per attività post-compromissione.
Come avviene la truffa ai danni degli sviluppatori
Per fingersi recruiter, gli attaccanti copiano i profili di persone reali o ne creano di nuovi. Successivamente, contattano direttamente le vittime su siti di ricerca lavoro e piattaforme per lavoratori autonomi, oppure pubblicano annunci di lavoro falsi. Alcuni profili vengono creati ex novo, mentre altri appartengono a persone reali, i cui account sono stati compromessi e modificati. Le interazioni avvengono su piattaforme di ricerca lavoro generiche e su portali specializzati in criptovalute e blockchain, più in linea con gli obiettivi degli attaccanti. Tra i siti utilizzati figurano LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight e Crypto Jobs List.
Il modus operandi di DeceptiveDevelopment
Le vittime ricevono i file del progetto direttamente tramite trasferimento sulla piattaforma o attraverso un link a repository come GitHub, GitLab o Bitbucket. Viene chiesto loro di scaricare i file, aggiungere funzionalità o correggere bug e di testare il progetto eseguendolo. Ed è questo il momento in cui avviene la compromissione. Gli attaccanti impiegano un metodo subdolo per nascondere il codice malevolo: lo inseriscono in una componente apparentemente innocua del progetto. Spesso nel codice backend non direttamente collegato al compito assegnato, aggiungendolo come una singola riga dietro un lungo commento. In questo modo resta fuori dallo schermo e passa inosservato.
Matěj Havránek Il cluster DeceptiveDevelopment si aggiunge alla già ampia gamma di schemi finanziari utilizzati dagli attori allineati alla Corea del Nord. E conferma il trend di spostamento dal denaro tradizionale alle criptovalute.
