Peretas Korea Utara perbarui malware BeaverTail, sasar pengguna MacOS

Peneliti keamanan siber telah menemukan varian terbaru dari malware pencuri yang dikenal sebagai BeaverTail. Malware ini dikembangkan oleh peretas yang terkait dengan Republik Demokratik Rakyat Korea (DPRK) dan telah digunakan dalam kampanye spionase siber yang sebelumnya menargetkan pencari kerja.

Dilansir dari The Hacker News (18/7), Artefak terbaru berupa file disk image (DMG) Apple macOS bernama "MiroTalk.dmg." File ini meniru layanan panggilan video asli dengan nama yang sama, namun berfungsi sebagai saluran untuk mengirimkan versi baru BeaverTail. Peneliti keamanan Patrick Wardle mengungkapkan temuan ini.

BeaverTail adalah malware pencuri berbasis JavaScript yang pertama kali diidentifikasi oleh Palo Alto Networks Unit 42 pada November 2023 dalam kampanye bernama Contagious Interview. Kampanye ini bertujuan menginfeksi pengembang perangkat lunak melalui proses wawancara kerja palsu. Securonix juga melacak aktivitas ini dengan nama DEV#POPPER.

Selain mencuri informasi sensitif dari peramban web dan dompet kripto, malware ini mampu mengirimkan muatan tambahan seperti InvisibleFerret, sebuah backdoor Python yang bertanggung jawab mengunduh AnyDesk untuk akses jarak jauh yang persisten.

"Jika saya harus menebak, peretas DPRK kemungkinan mendekati korban mereka dengan meminta mereka untuk bergabung dalam pertemuan perekrutan dengan mengunduh dan menjalankan (versi yang terinfeksi dari) MiroTalk yang dihosting di mirotalk[.]net," kata Wardle.

Analisis terhadap file DMG yang tidak ditandatangani mengungkap bahwa file tersebut memfasilitasi pencurian data dari peramban web seperti Google Chrome, Brave, dan Opera, dompet kripto, serta iCloud Keychain. Selain itu, file ini dirancang untuk mengunduh dan menjalankan skrip Python tambahan dari server jarak jauh.

"Peretas Korea Utara adalah kelompok yang licik dan cukup mahir dalam meretas target macOS, meskipun teknik mereka sering bergantung pada rekayasa sosial dan dari sudut pandang teknis, tidak terlalu mengesankan," tambah Wardle.

Pengungkapan ini muncul setelah Phylum menemukan paket npm berbahaya baru bernama call-blockflow. Paket ini hampir identik dengan call-bind asli tetapi menggabungkan fungsionalitas kompleks untuk mengunduh file biner jarak jauh sambil berusaha keras untuk tetap tidak terdeteksi.

"Dalam serangan ini, meskipun paket call-bind tidak dikompromikan, paket call-blockflow yang dipersenjatai menyalin semua kepercayaan dan legitimasi asli untuk memperkuat keberhasilan serangan," kata pernyataan Phylum yang dibagikan dengan The Hacker News.

Paket tersebut, yang diduga merupakan karya Grup Lazarus yang terkait dengan Korea Utara, dihapus sekitar satu setengah jam setelah diunggah ke npm dan menarik total 18 unduhan. Bukti menunjukkan bahwa aktivitas ini, yang terdiri dari lebih dari tiga lusin paket berbahaya, telah berlangsung dalam gelombang sejak September 2023.

"Paket-paket ini, setelah diinstal, akan mengunduh file jarak jauh, mendekripsinya, menjalankan fungsi yang diekspor darinya, dan kemudian dengan hati-hati menutupi jejak mereka dengan menghapus dan mengganti nama file," kata perusahaan keamanan rantai pasokan perangkat lunak tersebut. "Ini membuat direktori paket tampak dalam keadaan yang tampaknya jinak setelah instalasi."

Selain itu, JPCERT/CC mengeluarkan peringatan tentang serangan siber yang diatur oleh aktor Kimsuky Korea Utara yang menargetkan organisasi di Jepang. 

Proses infeksi dimulai dengan pesan phishing yang menyamar sebagai organisasi keamanan dan diplomatik, yang berisi file eksekusi berbahaya. Setelah dibuka, file ini mengunduh skrip Visual Basic (VBS), yang kemudian mengambil skrip PowerShell untuk mengumpulkan informasi akun pengguna, sistem, dan jaringan, serta memeriksa file dan proses.

Informasi yang dikumpulkan kemudian dieksfiltrasi ke server command-and-control (C2), yang merespons kembali dengan file VBS kedua yang kemudian dijalankan untuk mengambil dan menjalankan keylogger berbasis PowerShell bernama InfoKey.

"Meskipun ada beberapa laporan tentang aktivitas serangan oleh Kimsuky yang menargetkan organisasi di Jepang, ada kemungkinan bahwa Jepang juga sedang aktif menjadi target," kata JPCERT/CC.