Un’indagine ESET svela l’ascesa di DeceptiveDevelopment, il gruppo che combina social engineering e intelligenza artificiale per colpire sviluppatori freelance e rubare criptovalute.
Autore: Redazione SecurityOpenLab
Si chiama DeceptiveDevelopment il gruppo notoriamente allineato alla Corea del Nord che è oggetto di una nuova ricerca di ESET Research da cui sono emersi dettagli interessanti sull’evoluzione di tecniche e tattiche. Conosciuto anche come Contagious Interview, si tratta di un collettivo attivo almeno dal 2023 che si distingue perché combina tecniche di social engineering sempre più raffinate con l'uso strategico dell'AI per perpetrare furti di criptovalute su scala industriale.
Le vittime preferenziali sono sviluppatori freelance che operano su tutti i principali sistemi operativi, e a rendere particolarmente insidiosi gli attacchi è la capacità di questi attaccanti di adattarsi ed evolversi rapidamente, passando da malware rudimentali a toolset avanzati e sofisticati. La ricerca, presentata alla conferenza annuale Virus Bulletin, traccia l'evoluzione delle attività del gruppo sulla base dei dati di telemetria raccolti da ESET e sul successivo lavoro di reverse engineering dei suoi esperti. I risultati emersi alzano il sipario di un'organizzazione criminale che, pur mancando talvolta di sofisticazione tecnica di alto livello, compensa con creatività, persistenza e un approccio operativo su larga scala.
La prima attività associata a DeceptiveDevelopment risale al 2023, quando la Unit 42 di Palo Alto documentò per la prima volta una campagna, denominata Contagious Interview, che si basava su due famiglie di malware: BeaverTail e InvisibleFerret. Il primo era un infostealer e downloader relativamente semplice ma efficace, progettato per collezionare dati da portafogli di criptovalute e credenziali dai browser, oltre che scaricare il malware di secondo stadio InvisibleFerret. Quest’ultimo è un malware modulare scritto in Python con capacità di furto di informazioni molto più avanzate, capace anche di fornire controllo remoto agli attaccanti.
InvisibleFerret viene distribuito tipicamente con quattro moduli distinti: uno stealer per dati del browser e portafogli di criptovalute, un payload che funziona come trojan di accesso remoto, un clipboard con capacità di keylogging e registrazione degli appunti, e un modulo AnyDesk che consegna l’accesso diretto alla macchina compromessa”.
La progressiva analisi del codice ha svelato l’arrivo di Tropidoor, un malware fileless che agisce esclusivamente in memoria. Questa caratteristica, unita all’impiego di tecniche di offuscamento e crittografia raffinate, consente agli attaccanti di mantenere un controllo silenzioso ed esteso sul sistema infetto, rendendo assai più difficile la sua individuazione e analisi. La notizia più interessante al riguardo è che Tropidoor presenta molte somiglianze con PostNapTea, un trojan sviluppato da Lazarus, già usato contro target sudcoreani.
In particolare, questi due strumenti condividono le stesse tecniche di programmazione, le stesse modalità di cifratura e sfruttano internamente diversi comandi di Windows, di modo da offrire agli attaccanti un controllo molto dettagliato sui computer colpiti.
Non finisce qui perché nel novembre 2024 i ricercatori ESET scoprono una nuova versione del malware InvisibleFerret, caratterizzata da un modulo browser-data stealer modificato che contiene un blocco codificato precedentemente assente, che al suo interno ingloba il primo stadio di una catena di esecuzione che distribuisce un toolkit malware completamente nuovo, anch'esso destinato al furto di informazioni e criptovalute, che è stato battezzato TsunamiKit.
TsunamiKit appare subito come una evoluzione tecnica di DeceptiveDevelopment grazie a una catena di attacco multistadio caratterizzata da dropper e installer scritti in Python e .NET che agiscono con modalità sofisticate e stratificate. Il processo inizia con TsunamiLoader, uno script dal tono quasi provocatorio, seguito da TsunamiInjector che, tramite una lista di mille URL Pastebin crittografati, scarica progressivamente gli stadi successivi e attiva uno script per renderne persistente la presenza sul sistema, aggirando anche la protezione di Microsoft Defender. Il cuore dell’attacco è rappresentato da TsunamiClient, uno spyware .NET complesso che colpisce una vasta gamma di credenziali e include moduli specifici per l’esfiltrazione di dati sensibili legati ad account Discord e per l’attivazione automatica di due cryptominer (XMRig e NBMiner) che entrano in funzione ogni volta che l’utente risulta inattivo. Tutte le comunicazioni avvengono attraverso la rete TOR, che garantisce anonimato e difficoltà di tracciamento per gli autori. Ultimo ma non meno importante, la firma “Created By Enderagent” lascia intendere un possibile legame con altri operatori non ancora identificati.
DeceptiveDevelopment arruola nel tempo team più indipendenti al suo interno, che modificano il codice di base per soddisfare le proprie esigenze. Così facendo introducono nuovi strumenti malware, fra cui WeaselStore, un nuovo malware rilegato da ESET ad agosto 2024. Si tratta di un infostealer scritto in linguaggio di programmazione Go, che può esfiltrare i dati salvati nel browser e nei portafogli di criptovalute. WeaselStore viene distribuito come strumento post-exploitation e il suo aspetto più interessante è l'innovazione nella metodologia di compromissione iniziale: iltre ai falsi account recruiter utilizzati in precedenti attività di DeceptiveDevelopment, gli attaccanti hanno adottato una nuova tecnica di social engineering nota come ClickFix, di cui abbiamo parlato anche di recente.
Un’altra scoperta importante della ricerca riguarda l'infrastruttura di rete utilizzata da WeaselStore. I ricercatori hanno analizzato molteplici versioni del codice sorgente dell'API C&C e hanno concluso che i server di staging di WeaselStore forniscono un'API gestisce i dati raccolti nelle diverse fasi, riceve le informazioni della vittima tramite uno specifico endpoint e inoltra tutto agli operatori. Tramite altri endpoint distribuisce sia gli installer malevoli in formato ZIP sia il codice di WeaselStore già compilato, che viene fornito in base al sistema operativo della vittima.
Complessivamente, lo studio delle attività di DeceptiveDevelopment dimostra uno spostamento nel paradigma operativo degli APT nordcoreani verso un modello distribuito e guidato dal volume, in cui le linee tra cybercrime e attività APT sono sempre più sfumate.