spot_img

Ciberatacantes norcoreanos despliegan malware a través de falsas ofertas laborales en LinkedIn

Análisis

LISA News
LISA News
Contenido creado por el Equipo de Redacción de LISA News con el apoyo del equipo docente de LISA Institute.
  • Estos ciberatacantes norcoreanos usan ofertas de trabajo falsas en LinkedIn para infectar con malware ordenadores de desarrolladores y empleados del sector financiero.
  • El malware COVERTCATCH se disfraza de prueba de programación para robar información y dinero digital.

Un informe de la empresa de consultoría e Inteligencia Mandiant, propiedad de Google, ha alertado en un informe sobre actores de amenazas y ciberatacantes adheridos a Corea del Norte que utilizan la red social LinkedIn para captación de empleados y desarrolladores en ofertas falsas que contienen archivos con malware. Estos ciberatacantes utilizan pruebas de codificación como un transmisor de infección inicial para todos. Provocan incidentes Web3, que «suelen implicar el robo de claves de billeteras criptográficas de organizaciones».

➡️ Te puede interesar: ¿Qué es el malware y qué tipos de malware pueden afectarte?

«Después de una conversación de chat inicial, el atacante envía un archivo ZIP que contiene el malware llamado COVERTCATCH disfrazado como un desafío de codificación de Python», explicaron los investigadores del informe. El malware actúa como un punto de partida para atacar el sistema macOS de la víctima. Lo hace descargando un segundo programa dañino que se instala de forma permanente en el ordenador. Este segundo programa se mantiene activo usando funciones del sistema.

➡️ Te puede interesar: ¿Qué son los ataques malwareless?

Este es uno de los muchos actores de amenazas informáticos que hay, que operan bajo el amparo de Corea del Norte y que utilizan grandes señuelos como ofertas de trabajo atractivas para infectar a los usuarios con malware. Además, se conocen otros métodos de reclutamiento con señuelo que infectan dispositivos con malware. Ejemplos son RostBucket y KANDYKORN. Sin embargo, se desconoce si COVERTCATCH tiene conexión con estas cepas.

También en el sector finanzas

La investigación de Mandiant arroja que se ha visto y analizado campañas de ingeniería social que entregaban al candidato a ocupar el puesto de trabajo un PDF con contenido malicioso. Este archivo estaba disfrazado como una descripción de trabajo para un «vicepresidente de finanzas y operaciones» para un puesto de exchange de criptomonedas. «El PDF malicioso lanzó un malware de segunda etapa conocido como RustBucket, que es una puerta trasera escrita en Rust que admite la ejecución de archivos».

➡️ Te puede interesar: Ingeniería social: un caballo de Troya para la ciberdelincuencia

El virus RustBucket puede recoger datos básicos del ordenador y comunicarse con URL web que los hackers le indican. Se instala de forma permanente en el Mac haciéndose pasar por una «Actualización de Safari». Una vez instalado, se comunica regularmente con una página web secreta desde donde los hackers pueden controlarlo. Todo esto lo hace sin que el usuario se dé cuenta.

Más allá de la ingeniería social

Los piratas informáticos de Corea del Norte no solo engañan a las personas mediante ingeniería social para robar información, sino que también atacan directamente a las empresas que crean programas de ordenador. Por ejemplo, han atacado a compañías como 3CX y JumpCloud, que hacen software que muchas otras empresas usan. De esta manera, pueden afectar a muchas víctimas a la vez, especialmente a las que trabajan con dinero digital.

➡️ Te puede interesar: Guía Práctica contra la Ingeniería Social

«Una vez que se establece un punto de apoyo a través del malware, los atacantes recurren a los administradores de contraseñas para robar credenciales, realizar un reconocimiento interno a través de repositorios de código y documentación, y pivotar en el entorno de alojamiento en la nube para revelar las claves de la billetera y, finalmente, extraer los fondos», expresó Mandiant.

El FBI advierte de estas tácticas norcoreanas

Todas estas revelaciones se producen después de que la Oficina Federal de Investigación (FBI) de Estados Unidos publicase una advertencia a principios de septiembre, en la que se informa que ciberatacantes de Corea del Norte están atacando «agresivamente» a la industria de las criptomonedas. Estos hacen uso de acciones de «ingeniería social bien disfrazadas» para autofinanciarse. En una nota informativa, la Inteligencia estadounidense hace saber que las campañas de ingeniería social del país asiático son «altamente personalizadas y difíciles de detectar» para los trabajadores de las finanzas descentralizadas, del sector de las criptomonedas o de empresas similares. Su objetivo pasa por «desplegar malware» y «robar las criptomonedas» y activos financieros de las compañías.

➡️ Te puede interesar: 🎧 Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad

En estos intentos de Corea del Norte, se disfrazan de empresas o personas que la víctima puede conocer personalmente o indirectamente. Posteriormente, utilizan ofertas de empleo atractivas o métodos de inversión, con el objetivo de robar criptomonedas y obtener ingresos ilícitos con los que consiguen hacer frente a las sanciones internacionales. «Los esquemas de ingeniería social de Corea del Norte son complejos y elaborados, y a menudo comprometen a las víctimas con una perspicacia técnica sofisticada. Dada la escala y la persistencia de esta actividad maliciosa, incluso aquellos bien preparados en prácticas de ciberseguridad pueden ser vulnerables a la determinación de Corea del Norte de comprometer las redes conectadas a los activos de criptomonedas», aseguró el FBI.

➡️ Te puede interesar: ¿Son las criptomonedas los nuevos vehículos para el blanqueo de capitales y la financiación del terrorismo en Europa?

Entre sus tácticas, se encuentran la identificación de empresas de criptomonedas, la investigación preoperativa sobre objetivos potenciales antes de empezar el contacto, y finalmente se elaboran escenarios falsos individualizados con el objetivo de atraer a las víctimas e incrementar el éxito del ataque. «Los actores pueden hacer referencia a información personal, intereses, afiliaciones, eventos, relaciones personales, conexiones profesionales o detalles que una víctima puede creer que son conocidos por pocos. Si tiene éxito en establecer un contacto bidireccional, el actor inicial, u otro miembro del equipo del actor, puede pasar un tiempo considerable interactuando con la víctima para aumentar el sentido de legitimidad y generar familiaridad y confianza», explicó el FBI.


➡️ Si quieres adentrarte en el mundo de la Inteligencia, te recomendamos los siguientes programas formativos:

Artículo escrito por:

Rubén Asenjo Morillas. Periodista apasionado por la actualidad internacional y la geopolítica. Escribo para entender el mundo en constante cambio y compartir perspectivas que despierten la reflexión y el debate. Comprometido con la búsqueda de la verdad y las historias que impacten e inspiren.

Artículos relacionados

Masterclass y eventos relacionados

Formación relacionada

spot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img