Ciberseguridad 360 | Hackers norcoreanos usan ClickFix en criptoestafas

Se han observado amenazas vinculadas a la Rep�blica Popular Democr�tica de Corea (RPDC o Corea del Norte) que utilizan se�uelos del estilo de ClickFix para distribuir malware conocido como BeaverTail e InvisibleFerret.

En un informe publicado la semana pasada, Oliver Smith, investigador de GitLab Threat Intelligence, afirma: "El actor de la amenaza utiliz� se�uelos ClickFix para dirigirse a funciones de marketing y comercio en organizaciones del sector de las criptomonedas y el comercio minorista, en lugar de dirigirse a funciones de desarrollo de software".

Expuestos por primera vez por Palo Alto Networks a finales de 2023, BeaverTail e InvisibleFerret han sido desplegados por operativos norcoreanos como parte de una campa�a de larga duraci�n apodada Contagious Interview (alias Gwisin Gang), en la que el malware se distribuye a los desarrolladores de software con el pretexto de una evaluaci�n de trabajo. Considerado un subconjunto del grupo Lazarus, el cl�ster lleva activo al menos desde diciembre de 2022.

A lo largo de los a�os, BeaverTail tambi�n se ha propagado a trav�s de paquetes npm falsos y aplicaciones de videoconferencia de Windows fraudulentas como FCCCall y FreeConference. Escrito en JavaScript, el malware act�a como ladr�n de informaci�n y descargador de un backdoor basado en Python conocido como InvisibleFerret.

Una importante evoluci�n de la campa�a implica el uso de la t�ctica de ingenier�a social ClickFix para distribuir malware como GolangGhost, PylangGhost y FlexibleFerret, un subgrupo de actividad rastreado como ClickFake Interview.

La �ltima oleada de ataques, observada a finales de mayo de 2025, merece ser destacada por dos razones: El empleo de ClickFix para entregar BeaverTail (en lugar de GolangGhost o FlexibleFerret) y la entrega del ladr�n en forma de binario compilado producido utilizando herramientas como pkg y PyInstaller para sistemas Windows, macOS y Linux.

Una aplicaci�n web de plataforma de contrataci�n falsa creada utilizando Vercel sirve como vector de distribuci�n para el malware, con el actor de la amenaza anunciando puestos de comerciante de criptomoneda, ventas y marketing en varias organizaciones Web, as� como instando a los objetivos a invertir en una empresa Web.

"El hecho de que el actor de la amenaza se dirija a solicitantes de marketing y suplante la identidad de una organizaci�n del sector minorista es digno de menci�n, dado que los distribuidores de BeaverTail se centran habitualmente en desarrolladores de software y en el sector de las criptomonedas", afirma Smith.

Los usuarios que aterrizan en el sitio tienen sus direcciones IP p�blicas capturadas y se les instruye para completar una evaluaci�n de v�deo de s� mismos, momento en el que se muestra un falso error t�cnico sobre un problema de micr�fono inexistente y se les pide a un comando espec�fico del sistema operativo para supuestamente abordar el problema, lo que conduce efectivamente a la implementaci�n de una versi�n m�s delgada de BeaverTail ya sea por medio de un script de shell o Visual Basic Script.

"La variante de BeaverTail asociada a esta campa�a contiene una rutina de robo de informaci�n simplificada y se dirige a menos extensiones del navegador", afirma GitLab. "La variante tiene como objetivo s�lo ocho extensiones del navegador en lugar de las 22 a las que se dirigen otras variantes contempor�neas de BeaverTail".

Otra omisi�n importante es la eliminaci�n de funciones relacionadas con el robo de datos de navegadores web distintos de Google Chrome. Tambi�n se ha descubierto que la versi�n para Windows de BeaverTail depende de un archivo protegido con contrase�a que se env�a junto con el malware para cargar dependencias de Python relacionadas con InvisibleFerret.

Aunque los archivos protegidos con contrase�a son una t�cnica bastante com�n que varios actores de amenazas han adoptado durante alg�n tiempo, esta es la primera vez que el m�todo se ha utilizado para la entrega de carga �til en relaci�n con BeaverTail, lo que indica que los actores de amenazas est�n refinando activamente sus cadenas de ataque.

Es m�s, la baja prevalencia de artefactos secundarios en la naturaleza y la ausencia de finura de ingenier�a social sugieren que la campa�a puede haber sido una prueba limitada y es poco probable que se despliegue a escala.

"La campa�a sugiere un ligero cambio t�ctico para un subgrupo de operadores norcoreanos de BeaverTail, que se expanden m�s all� de su objetivo tradicional de desarrolladores de software para perseguir funciones de marketing y comercio en los sectores de criptomoneda y comercio minorista", dijo GitLab. "El cambio a variantes de malware compiladas y la continua dependencia de las t�cnicas ClickFix demuestra la adaptaci�n operativa para llegar a objetivos menos t�cnicos y sistemas sin herramientas de desarrollo de software est�ndar instaladas."

El desarrollo se produce cuando una investigaci�n conjunta de SentinelOne, SentinelLabs y Validin descubri� que al menos 230 personas han sido blanco de la campa�a Contagious Interview en ataques de falsas entrevistas de trabajo de criptomoneda entre enero y marzo de 2025 haci�ndose pasar por empresas como Archblock, Robinhood y eToro.

Esta campa�a consist�a esencialmente en utilizar temas de ClickFix para distribuir aplicaciones maliciosas Node.js apodadas ContagiousDrop que est�n dise�adas para desplegar malware disfrazado de actualizaciones o utilidades esenciales. La carga �til se adapta al sistema operativo y a la arquitectura del sistema de la v�ctima. Tambi�n es capaz de catalogar las actividades de la v�ctima y activar una alerta por correo electr�nico cuando el afectado inicia la falsa evaluaci�n de habilidades.

"Esta actividad [...] implic� que los actores de la amenaza examinaran la informaci�n de inteligencia sobre ciberamenazas (CTI) relacionada con su infraestructura", se�alaron las empresas, a�adiendo que los atacantes se involucraron en un esfuerzo coordinado para evaluar la nueva infraestructura antes de su adquisici�n, as� como vigilar en busca de signos de detecci�n de su actividad a trav�s de Validin, VirusTotal y Maltrail.

La informaci�n obtenida de estos esfuerzos est� destinada a mejorar la resistencia y la eficacia de sus campa�as, as� como a desplegar r�pidamente nuevas infraestructuras tras la retirada de proveedores de servicios, lo que refleja un inter�s por invertir recursos para mantener sus operaciones en lugar de introducir cambios generales para proteger sus infraestructuras existentes.

"Dado el �xito continuado de sus campa�as para captar objetivos, puede resultar m�s pragm�tico y eficaz para los autores de las amenazas desplegar nuevas infraestructuras en lugar de mantener los activos existentes", afirman los investigadores. "Posibles factores internos, como estructuras de mando descentralizadas o limitaciones de recursos operativos, pueden restringir su capacidad para implementar r�pidamente cambios coordinados".

"Su estrategia operativa parece priorizar la r�pida sustituci�n de la infraestructura perdida debido a los esfuerzos de takedown por parte de los proveedores de servicios, utilizando la infraestructura reci�n aprovisionada para mantener su actividad."

Los hackers norcoreanos tienen un largo historial de intentos de recopilar inteligencia sobre amenazas para impulsar sus operaciones. En 2021, Google y Microsoft revelaron que piratas inform�ticos respaldados por Pyongyang atacaron a investigadores de seguridad que trabajaban en la investigaci�n y desarrollo de vulnerabilidades utilizando una red de blogs falsos y cuentas de redes sociales para robar exploits.

El a�o pasado, SentinelOne advirti� de una campa�a llevada a cabo por ScarCruft (tambi�n conocida como APT37) dirigida a los consumidores de informes de inteligencia sobre amenazas con falsos informes t�cnicos como se�uelo para distribuir RokRAT, un backdoor personalizado utilizado exclusivamente por el grupo de amenazas norcoreano.

Sin embargo, en las �ltimas campa�as de ScarCruft se ha producido una especie de cambio, dando el inusual paso de infectar a los objetivos con un ransomware VCD personalizado, junto con un conjunto de herramientas en evoluci�n que incluye los robos y backdoors CHILLYCHINO (tambi�n conocido como Rustonotto) y FadeStealer. CHILLYCHINO, un implante basado en Rust, es una nueva adici�n al arsenal del actor de la amenaza a partir de junio de 2025. Tambi�n es el primer caso conocido de APT37 que utiliza un malware basado en Rust para atacar sistemas Windows.

FadeStealer, por su parte, es una herramienta de vigilancia identificada por primera vez en 2023 que est� equipada para registrar pulsaciones de teclas, capturar pantallas y audio, rastrear dispositivos y medios extra�bles y filtrar datos a trav�s de archivos RAR protegidos con contrase�a. Utiliza HTTP POST y codificaci�n Base64 para comunicarse con su servidor de mando y control (C2).

La cadena de ataque, seg�n Zscaler ThreatLabz, implica el uso de mensajes de spear-phishing para distribuir archivos ZIP que contienen accesos directos de Windows (LNK) o archivos de ayuda (CHM) que dejan caer CHILLYCHINO o su contraparte conocida PowerShell Chinotto, que luego se pone en contacto con el servidor C2 para recuperar una carga �til de la siguiente etapa responsable de lanzar FadeStealer.

"El descubrimiento del ransomware marca un cambio significativo desde las operaciones de espionaje puro hacia una actividad con motivaci�n financiera y potencialmente destructiva", dijo S2W. "Esta evoluci�n pone de relieve no s�lo la diversificaci�n funcional, sino tambi�n un reajuste estrat�gico m�s amplio en los objetivos del grupo".

Fuente: thehackernews