Северокорейские киберугрозы: Вредоносные приложения под маской

Источник: blog.kandji.io
В последние месяцы кибербезопасность вновь оказалась под угрозой из-за ряда вредоносных приложений, связанных с кибероперациями Северной Кореи. Эти инструменты использует тактику «Contagious Interview», маскируясь под приложения, предлагающие фальшивые собеседования при приеме на работу. Основная цель этих инструментов — получение учетных данных пользователей с помощью вводящих в заблуждение запросов.
Анализ вредоносного приложения DriverEasy
Одним из наиболее заметных приложений является DriverEasy.app, которое разрабатывалось с использованием Swift и Objective-C и выдает себя за законное приложение Google. В процессе исследования удалось выявить следующие функциональные возможности:
- Использование пользовательских подсказок для обмана пользователей и получения их паролей.
- Передача украденной информации в учетную запись Dropbox с помощью API-интерфейсов.
- Создание фальшивых приглашений, которые вводят пользователей в заблуждение о необходимых разрешениях.
- Имитирование идентификатора пакета Google Chrome, как и в случае с ChromeUpdate.
Подходы к анализу и эксфильтрации данных
Согласно анализу, приложение DriverEasy использует инструменты командной строки otool для проверки своего кода, что указывает на использование комбинации Swift и Objective-C в его разработке. Часть вредоносного потока включает в себя:
- Инициализация запроса об ошибке, где пользователю предлагается ввести пароль своей учетной записи Google.
- Сохранение и преобразование введенных данных для их передачи.
- Установление связи с Dropbox для загрузки украденных учетных данных.
Приложение также запрашивает общедоступный IP-адрес пользователя, что усиливает его легитимность. Подготовленный запрос API на токен использует OAuth 2.0 для получения доступа к информации с последующей загрузкой данных о пользователе.
Тревожная тенденция в киберугрозах
Сравнение DriverEasy с ChromeUpdate и CameraAccess показывает, что все они, вероятно, являются производными одного и того же семейства вредоносных программ. Настойчивость северокорейских киберпреступников в применении подобных схем подчеркивает необходимость внедрения передовых методов обнаружения и защиты для противодействия таким угрозам.
Эксперты по кибербезопасности подчеркивают: «Понимание механизмов, лежащих в основе этих приложений, является обязательным условием для повышения защиты кибербезопасности от обманчивых тактик». Важно не только выявлять, но и эффективно реагировать на новые киберугрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



