Чем чаще вы обновляете драйвера, тем быстрее вас хакнут северокорейские специалисты

Северокорейская кибергруппа, стоящая за кампанией Contagious Interview, продолжает развивать своё вредоносное ПО OtterCookie — универсальный троян, способный работать на разных платформах и воровать учётные данные из браузеров, документов и криптокошельков. По данным японской компании NTT Security Holdings, в феврале и апреле 2025 года были зафиксированы третья и четвёртая версии OtterCookie, свидетельствующие о постоянной и активной разработке данного ПО.

NTT отслеживает группу под названием WaterPlum, также известную как CL-STA-0240, DeceptiveDevelopment, DEVPOPPER, Famous Chollima, PurpleBravo и Tenacious Pungsan. Впервые вредонос был обнаружен в сентябре 2024 года, распространялся через npm-пакеты с внедрённым JavaScript-кодом, поддельные репозитории GitHub и Bitbucket, а также фальшивые приложения для видеозвонков. Основная задача — установить соединение с удалённым сервером и выполнять команды на заражённой машине.

В OtterCookie v3 появился отдельный модуль для загрузки файлов, включая документы, изображения, текстовые файлы и данные из криптовалютных кошельков, что ранее выполнялось через команды shell. Версия v4 пошла ещё дальше: добавлены два модуля для кражи данных из браузера Google Chrome, расширения MetaMask в Chrome и Brave, а также из iCloud Keychain. Один модуль расшифровывает сохранённые пароли Chrome, другой извлекает зашифрованные логины. Различия в методах обработки данных позволяют предположить, что над ними работали разные разработчики.

Также в новой версии трояна реализована проверка на запуск внутри виртуальных машин от VMware, Oracle VirtualBox, Microsoft и QEMU, что затрудняет анализ и отладку.

Одновременно с этим специалисты фиксируют эволюцию других компонентов кампании. Так, под видом обновления драйвера Realtek («WebCam.zip») распространяется основанный на Go инфостилер для macOS. Пользователю предлагают установить приложение «DriverMinUpdate.app», якобы для устранения неполадок с камерой, но на деле оно похищает системный пароль. Такая схема напоминает обновлённую активность ClickFake Interview, где в процессе мнимого собеседования используется поддельное «исправление» проблем с видео и звуком.

По информации Moonlock, целью этого стилера является постоянный канал управления, сбор информации о системе и эксфильтрация чувствительных данных. Помимо DriverMinUpdate, эксперты находили и другие схожие вредоносные приложения: ChromeUpdateAlert, ChromeUpdate, CameraAccess и DriverEasy.

Кампанию также сопровождает новая вредоносная платформа Tsunami-Framework — .NET-модуль с функциями кражи данных из браузеров и кошельков, записи нажатий клавиш, сбора файлов и встроенного, хоть и незавершённого, ботнет-модуля. Этот инструмент распространяется как нагрузка после Python-бэкдора InvisibleFerret.

Аналитики связывают всю инфраструктуру с Lazarus Group — известной северокорейской группировкой, ответственной за шпионские и финансово-мотивированные атаки. Среди последних крупных инцидентов — миллиардная кража с платформы Bybit , приписываемая этой же группе.