Ciberdelincuentes Norcoreanos se Hacen Pasar por Reclutadores y Buscadores de Empleo en Campañas de Malware

XPoint
Publicado el 22/11/2023

Se ha vinculado a actores amenazantes de Corea del Norte con dos campañas en las que se hacen pasar tanto por reclutadores como por solicitantes de empleo para distribuir malware y obtener empleo no autorizado en organizaciones con sede en EE. UU. y otras partes del mundo.

Las agrupaciones de actividad han sido nombradas Contagious Interview y Wagemole, respectivamente, por Palo Alto Networks Unit 42.

Mientras que el primer conjunto de ataques tiene como objetivo «infectar a desarrolladores de software con malware a través de una entrevista de trabajo ficticia», el segundo está diseñado con fines de lucro y espionaje.

«El objetivo de la primera campaña probablemente sea el robo de criptomonedas y el uso de objetivos comprometidos como entorno de preparación para ataques adicionales», dijo la empresa de ciberseguridad.

La actividad fraudulenta de búsqueda de empleo, por otro lado, implica el uso de un repositorio de GitHub para alojar currículos con identidades falsificadas que se hacen pasar por individuos de diversas nacionalidades.

Los ataques de Contagious Interview allanan el camino para dos tipos de malware hasta ahora no documentados llamados BeaverTail e InvisibleFerret, que pueden ejecutarse en sistemas Windows, Linux y macOS.

Ciberseguridad Vale la pena señalar que el conjunto de intrusiones comparte similitudes tácticas con la actividad de amenazas norcoreanas previamente informada denominada Operación Dream Job, que implica acercarse a los empleados con ofertas de trabajo potenciales y engañarlos para que descarguen un paquete npm malicioso alojado en GitHub como parte de una entrevista en línea.

«Es probable que el actor de amenazas presente el paquete al objetivo como software para revisar o analizar, pero en realidad contiene JavaScript malicioso diseñado para infectar el host del objetivo con malware de puerta trasera», dijo Unit 42.

BeaverTail, el implante JavaScript, es un ladrón y un cargador que tiene la capacidad de robar información sensible de navegadores web y billeteras de criptomonedas, y de entregar cargas útiles adicionales, incluido InvisibleFerret, una puerta trasera basada en Python con funciones de fingerprinting, control remoto, keylogging y extracción de datos.

InvisibleFerret también está diseñado para descargar el cliente AnyDesk desde un servidor controlado por el actor para obtener acceso remoto.

A principios de este mes, Microsoft advirtió que el famoso subgrupo del Grupo Lazarus denominado Sapphire Sleet (también conocido como BlueNoroff) ha establecido nueva infraestructura que se hace pasar por portales de evaluación de habilidades como parte de sus campañas de ingeniería social.

Hackers norcoreanos Esta no es la primera vez que los actores amenazantes norcoreanos abusan de módulos falsos en npm y PyPI. A finales de junio y julio de 2023, Phylum y GitHub detallaron una campaña de ingeniería social dirigida a las cuentas personales de empleados que trabajan en empresas tecnológicas con el objetivo de instalar un paquete npm falso bajo el pretexto de colaborar en un proyecto de GitHub.

Los ataques se han atribuido a otro conjunto conocido como Jade Sleet, que también se llama TraderTraitor y UNC4899, y desde entonces se ha implicado en el hackeo de JumpCloud que tuvo lugar alrededor del mismo tiempo.

El descubrimiento de Wagehole hace eco de un aviso reciente del gobierno de EE. UU., que reveló el subterfugio de Corea del Norte para eludir sanciones enviando un ejército de trabajadores de TI altamente calificados que obtienen empleo en varias empresas en todo el mundo y devuelven sus salarios para financiar los programas de armas del país.

«Algunos currículos incluyen enlaces a un perfil de LinkedIn y enlaces a contenido de GitHub», dijo la empresa de ciberseguridad.

Ciberseguridad «Estas cuentas de GitHub parecen estar bien mantenidas y tienen un historial de actividad extenso. Estas cuentas indican actualizaciones frecuentes de código y socialización con otros desarrolladores. Como resultado, estas cuentas de GitHub son casi indistinguibles de las cuentas legítimas».

«Crearíamos de 20 a 50 perfiles falsos al año hasta que fuéramos contratados», citaron a un trabajador de TI norcoreano que desertó recientemente, según Reuters, que también compartió detalles de la campaña Wagemole.

Este desarrollo se produce cuando Corea del Norte afirmó que ha puesto con éxito un satélite espía militar en el espacio, después de dos intentos fallidos en mayo y agosto de este año.

También sigue a una nueva campaña de ataque orquestada por el grupo Andariel vinculado a Corea del Norte, otro elemento subordinado dentro de Lazarus, para entregar Black RAT, Lilith RAT, NukeSped y TigerRAT infiltrándose en servidores MS-SQL vulnerables, así como mediante ataques a la cadena de suministro utilizando un software de gestión de activos surcoreano.

«Los desarrolladores de software suelen ser el eslabón más débil para los ataques a la cadena de suministro, y las ofertas de trabajo fraudulentas son una preocupación constante, por lo que esperamos una actividad continua de Contagious Interview», dijo Unit 42. «Además, Wagemole representa una oportunidad para incrustar infiltrados en empresas específicas».

Preguntas frecuentes

¿Qué es la Ingeniería Social?

+

La ingeniería social es una técnica de manipulación psicológica utilizada por personas o entidades con el objetivo de obtener información confidencial, acceso no autorizado a sistemas informáticos u otra acción que beneficie al atacante. En lugar de depender de vulnerabilidades técnicas, la ingeniería social se basa en engañar a las personas para que revelen información confidencial o realicen acciones que no deberían.

Algunos ejemplos de técnicas de ingeniería social incluyen:

  1. Phishing: Envío de correos electrónicos fraudulentos que parecen legítimos para engañar a las personas y hacer que revelen información confidencial como contraseñas o detalles de cuentas.
  2. Ingeniería social telefónica: Llamadas telefónicas fraudulentas en las que el atacante se hace pasar por alguien de confianza para obtener información o realizar acciones específicas.
  3. Suplantación de identidad: Hacerse pasar por otra persona, ya sea en línea o en persona, para engañar a las personas y obtener acceso a información sensible.
  4. Ingeniería social en redes sociales: Crear perfiles falsos o utilizar información pública disponible en redes sociales para obtener información sobre objetivos específicos.
  5. Ingeniería social física: Acceder físicamente a un lugar o sistema mediante la persuasión o el engaño, como hacerse pasar por un empleado o contratista.

La ingeniería social es un componente significativo de muchos ataques cibernéticos y actividades maliciosas, ya que puede ser más fácil engañar a las personas que explotar vulnerabilidades técnicas. La conciencia y la capacitación en seguridad son elementos clave para prevenir el éxito de ataques de ingeniería social.

¿Quién es el Phishing?

+

El phishing es una forma de fraude en línea que utiliza tácticas engañosas para obtener información confidencial, como contraseñas y datos financieros, haciéndose pasar por entidades confiables. Los atacantes suelen enviar correos electrónicos falsos o mensajes engañosos, simulando ser instituciones legítimas, con el objetivo de engañar a las personas para que revelen información sensible o hagan clic en enlaces maliciosos. El propósito final es el robo de datos o la instalación de malware en el dispositivo de la víctima. La concientización y la precaución son clave para evitar caer en estas trampas cibernéticas.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos