Email di lavoro false utilizzate per diffondere il Malware BeaverTail

Un nuovo attacco informatico sta prendendo di mira chi cerca lavoro, utilizzando false email di reclutamento per diffondere malware camuffati come innocui file per sviluppatori.

Gli esperti di cybersecurity di ASEC, che hanno per primi identificato questo malware, spiegano che questo incidente rappresenta una tattica sempre più diffusa in cui gli aggressori si travestono da recruiter o membri di comunità di sviluppatori.

L’incidente è venuto alla luce per la prima volta il 29 novembre 2024, quando degli hacker hanno utilizzato l’identità di Dev.to per fingersi gli sviluppatori della piattaforma.

Gli aggressori hanno inviato email contenenti link al repository di codice BitBucket, chiedendo agli utenti di revisionare il progetto. I file del progetto contenevano malware nascosto, mascherato da normali file di progetto.

I file falsi includevano due minacce principali: un malware basato su JavaScript chiamato BeaverTail, travestito da file “tailwind.config.js”, e una seconda componente chiamata car.dll, che funge da downloader. Quando vengono aperti, questi file lavorano insieme per rubare i dettagli di accesso, i dati del browser e persino le informazioni del portafoglio di criptovaluta.

“BeaverTail è noto per essere distribuito principalmente in attacchi di phishing travestiti da offerte di lavoro”, hanno spiegato i ricercatori di ASEC. Le versioni precedenti di questo attacco sono state individuate su piattaforme come LinkedIn.

Il malware rappresenta una minaccia significativa perché maschera il suo vero scopo mimando le operazioni standard del sistema. Il malware utilizza gli strumenti PowerShell e rundll32, che sono utility standard di Windows, per eludere il rilevamento del software antivirus.

Dopo aver penetrato un sistema, il malware recupera ed esegue Tropidoor, che funziona come un backdoor avanzato. Lo strumento stabilisce connessioni criptate con server remoti mentre esegue più di 20 comandi diversi che includono la cancellazione di file, l’iniezione di codice di programma e la cattura di screenshot.

“Tropidoor… raccoglie informazioni di base del sistema e genera una chiave casuale da 0x20 byte, che viene crittografata con una chiave pubblica RSA”, hanno affermato i ricercatori. Questa connessione sicura permette agli hacker di controllare macchine infettate senza essere notati.

I team di sicurezza esortano tutti a rimanere molto vigili in questo periodo. Fate attenzione alle email di reclutamento inaspettate, specialmente quelle con link a repository di codice o che vi chiedono di scaricare file di progetto. Verificate sempre con l’azienda ufficiale prima di aprire qualsiasi contenuto.