OtterCookie v4 přidává detekci virtuálních strojů a krádež přihlašovacích údajů z Chrome a MetaMask

29 května, 2025

Severokorejští hackeři stojící za kampaní Contagious Interview byli zaznamenáni při používání aktualizovaných verzí multiplatformního malwaru nazývaného OtterCookie, který je schopen krást přihlašovací údaje z webových prohlížečů a dalších souborů.

Společnost NTT Security Holdings, která nové poznatky podrobně popsala, uvedla, že útočníci „aktivně a nepřetržitě“ malware aktualizují a v únoru a dubnu 2025 představili verze v3 a v4.

Japonská kyberbezpečnostní společnost sleduje tuto skupinu pod názvem WaterPlum, známou také jako CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, PurpleBravo a Tenacious Pungsan.

OtterCookie byl poprvé zdokumentován společností NTT v roce 2024 poté, co jej zaznamenala v útocích od září 2024. Malware je šířen prostřednictvím škodlivého balíčku npm, trojanizovaného repozitáře na GitHubu nebo Bitbucketu, nebo falešné aplikace pro videokonference. Je navržen tak, aby kontaktoval externí server a prováděl příkazy na kompromitovaných zařízeních.

OtterCookie v3 obsahuje nový upload modul, který odesílá soubory odpovídající předem definovaným příponám na externí server. Jedná se o proměnné prostředí, obrázky, dokumenty, tabulky, textové soubory a soubory obsahující mnemotechnické a obnovovací fráze spojené s kryptoměnovými peněženkami.

Za zmínku stojí, že tento modul byl v OtterCookie v2 spouštěn jako shell příkaz přijatý ze serveru.

Čtvrtá verze malwaru rozšiřuje možnosti předchozí verze o dva nové moduly pro krádež přihlašovacích údajů z Google Chrome a také pro extrakci dat z rozšíření MetaMask pro Google Chrome, prohlížeč Brave a iCloud Keychain.

Další novinkou v OtterCookie v4 je schopnost detekovat, zda je spuštěn ve virtuálním prostředí (VM) jako Broadcom VMware, Oracle VirtualBox, Microsoft a QEMU.

Zajímavé je, že první modul pro krádež údajů z Google Chrome je získává po jejich dešifrování, zatímco druhý modul sbírá šifrovaná přihlašovací data z prohlížečů jako Chrome a Brave.

„Tento rozdíl ve zpracování dat nebo stylu kódování naznačuje, že tyto moduly vyvinuli různí vývojáři,“ uvedli experti Masaya Motoda a Rintaro Koike.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Meta přidává reklamy ve vlákně Threads do svého Marketing API

Meta rozšiřuje dostupnost reklam na své platformě Threads a zároveň zpřístupňuje jejich správu skrze rozhraní Marketing API. Od 19. května 2025 mohou inzerenti vytvářet, spravovat

Číst dále »

30 května, 2025

Kraken spouští krypto futures v Evropě v rámci směrnice MiFID II

Kraken spustil sadu regulovaných krypto derivátů v Evropě, čímž rozšiřuje přístup jak k perpetual, tak k termínovaným kontraktům v rámci směrnice o trzích finančních nástrojů

Číst dále »

30 května, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom