Северокорейские киберугрозы: Вредоносные приложения под маской

Северокорейские киберугрозы: Вредоносные приложения под маской

Источник: blog.kandji.io

В последние месяцы кибербезопасность вновь оказалась под угрозой из-за ряда вредоносных приложений, связанных с кибероперациями Северной Кореи. Эти инструменты использует тактику «Contagious Interview», маскируясь под приложения, предлагающие фальшивые собеседования при приеме на работу. Основная цель этих инструментов — получение учетных данных пользователей с помощью вводящих в заблуждение запросов.

Анализ вредоносного приложения DriverEasy

Одним из наиболее заметных приложений является DriverEasy.app, которое разрабатывалось с использованием Swift и Objective-C и выдает себя за законное приложение Google. В процессе исследования удалось выявить следующие функциональные возможности:

  • Использование пользовательских подсказок для обмана пользователей и получения их паролей.
  • Передача украденной информации в учетную запись Dropbox с помощью API-интерфейсов.
  • Создание фальшивых приглашений, которые вводят пользователей в заблуждение о необходимых разрешениях.
  • Имитирование идентификатора пакета Google Chrome, как и в случае с ChromeUpdate.

Подходы к анализу и эксфильтрации данных

Согласно анализу, приложение DriverEasy использует инструменты командной строки otool для проверки своего кода, что указывает на использование комбинации Swift и Objective-C в его разработке. Часть вредоносного потока включает в себя:

  • Инициализация запроса об ошибке, где пользователю предлагается ввести пароль своей учетной записи Google.
  • Сохранение и преобразование введенных данных для их передачи.
  • Установление связи с Dropbox для загрузки украденных учетных данных.

Приложение также запрашивает общедоступный IP-адрес пользователя, что усиливает его легитимность. Подготовленный запрос API на токен использует OAuth 2.0 для получения доступа к информации с последующей загрузкой данных о пользователе.

Тревожная тенденция в киберугрозах

Сравнение DriverEasy с ChromeUpdate и CameraAccess показывает, что все они, вероятно, являются производными одного и того же семейства вредоносных программ. Настойчивость северокорейских киберпреступников в применении подобных схем подчеркивает необходимость внедрения передовых методов обнаружения и защиты для противодействия таким угрозам.

Эксперты по кибербезопасности подчеркивают: «Понимание механизмов, лежащих в основе этих приложений, является обязательным условием для повышения защиты кибербезопасности от обманчивых тактик». Важно не только выявлять, но и эффективно реагировать на новые киберугрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: