Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVO MALWARE DENOMINADO OTTERCOOKIE

05/02/2025

NUEVO MALWARE DENOMINADO OTTERCOOKIE
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó un nuevo malware denominado OtterCookie , utilizado por actores de amenaza presuntamente vinculados a Corea del Norte en una campaña maliciosa conocida como "Contagious Interview", con motivaciones financieras, la cual estaba dirigida a desarrolladores de software, empleando ofertas de trabajo falsas con el objetivo de comprometer sus equipos y exfiltrar información sensible.

Descripción

Los ciberdelincuentes distribuyen OtterCookie mediante un loader que procesa datos en formato JSON y ejecuta la propiedad cookie como código JavaScript. En el desarrollo de la campaña, se ha observado su distribución a través de proyectos Node.js o paquetes npm alojados en repositorios como GitHub o Bitbucket. Sin embargo, recientemente se ha visto también el uso de archivos empaquetados como aplicaciones Qt o Electron para propagar el malware.

Una vez activo en el equipo comprometido, OtterCookie establece comunicaciones seguras con su servidor de comando y control (C2) utilizando la herramienta Socket.IO WebSocket. Esta conexión permite a los ciberdelincuentes recibir y ejecutar comandos remotos, incluidos comandos de shell como ls y cat, para realizar tareas de reconocimiento, exploración del entorno y potencial movimiento lateral dentro de la red.

Adicionalmente, el malware está diseñado para recopilar información sensible, como claves de billeteras de criptomonedas, documentos, imágenes, datos del portapapeles y otros archivos valiosos almacenados en el equipo infectado.

Vector de infección

OtterCookieutiliza como vector de infección ofertas de trabajo falsas dirigidas a desarrolladores de software y a través de repositorios legítimos como GitHub y Bitbucket, los ciberdelincuentes distribuyen proyectos Node.js, paquetes npm o aplicaciones empaquetadas con Qt y Electron, los cuales contienen el malware oculto. Al ejecutar estos archivos, se activa un loader que procesa datos en formato JSON, descargando y ejecutando el código malicioso en el equipo comprometido.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Sensibilizar a los empleados y colaboradores sobre los riesgos de ofertas de trabajo falsas y otros esquemas de phishing.
  • Evitar descargar proyectos o paquetes desde repositorios públicos como GitHub y Bitbucket sin verificar su legitimidad.
  • Implementar sistemas de detección y prevención de intrusiones (IDS/IPS) para identificar conexiones sospechosas, especialmente aquellas que utilizan WebSocket como Socket.IO.

Leer noticia: https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/