07 de septiembre de 2024Ravie LakshmananSeguridad cibernética / Malware Se ha observado que los actores de amenazas afiliados a Corea del Norte aprovechan LinkedIn como una forma de atacar a los desarrolladores como parte de una operación de contratación de empleo falsa. Estos ataques emplean pruebas de codificación como un vector de infección inicial común, dijo Mandiant, propiedad de Google, en un nuevo informe sobre las amenazas que enfrenta el sector Web3. «Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía malware COVERTCATCH disfrazado de un desafío de codificación de Python», dijeron los investigadores Robert Wallace, Blas Kojusner y Joseph Dobson. El malware funciona como una plataforma de lanzamiento para comprometer el sistema macOS del objetivo al descargar una carga útil de segunda etapa que establece persistencia a través de agentes de lanzamiento y demonios de lanzamiento. Vale la pena señalar que este es uno de los muchos grupos de actividades, a saber, Operation Dream Job, Contagious Interview y otros, llevados a cabo por grupos de piratas informáticos norcoreanos que utilizan señuelos relacionados con el trabajo para infectar objetivos con malware. Los señuelos con temática de reclutamiento también han sido una táctica frecuente para distribuir familias de malware como RustBucket y KANDYKORN. Mandiant dijo que observó una campaña de ingeniería social que entregó un PDF malicioso disfrazado como una descripción del trabajo de un «Vicepresidente de Finanzas y Operaciones» en una importante plataforma de intercambio de criptomonedas. «El PDF malicioso soltó un malware de segunda etapa conocido como RustBucket, que es una puerta trasera escrita en Rust que admite la ejecución de archivos». El implante RustBucket está equipado para recopilar información básica del sistema, comunicarse con una URL proporcionada a través de la línea de comandos y configurar la persistencia utilizando un agente de lanzamiento que se disfraza de una «actualización de Safari» para contactar con un dominio de comando y control (C2) codificado de forma rígida. Los ataques de Corea del Norte a las organizaciones Web3 también van más allá de la ingeniería social para abarcar ataques a la cadena de suministro de software, como se observó en los incidentes dirigidos a 3CX y JumpCloud en los últimos años. «Una vez que se establece un punto de apoyo a través del malware, los atacantes recurren a los administradores de contraseñas para robar credenciales, realizar un reconocimiento interno a través de repositorios de código y documentación, y recurrir al entorno de alojamiento en la nube para revelar claves de billetera activa y, finalmente, drenar los fondos», dijo Mandiant. La revelación se produce en medio de una advertencia de la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre los actores de amenazas norcoreanos que apuntan a la industria de las criptomonedas mediante «campañas de ingeniería social altamente personalizadas y difíciles de detectar». Estos esfuerzos en curso, que se hacen pasar por empresas de reclutamiento o personas que una víctima puede conocer personalmente o indirectamente con ofertas de empleo o inversión, se consideran un conducto para robos de criptomonedas descarados que están diseñados para generar ingresos ilícitos para el reino hermitaño, que ha sido objeto de sanciones internacionales. Entre las tácticas empleadas, se destacan la identificación de empresas de interés relacionadas con las criptomonedas, la realización de una amplia investigación preoperativa sobre sus objetivos antes de iniciar el contacto y la elaboración de escenarios falsos personalizados en un intento de atraer a posibles víctimas y aumentar la probabilidad de éxito de sus ataques. «Los actores pueden hacer referencia a información personal, intereses, afiliaciones, eventos, relaciones personales, conexiones profesionales o detalles que una víctima puede creer que son conocidos por pocas personas», dijo el FBI, destacando los intentos de establecer una relación y, finalmente, distribuir malware. «Si logra establecer un contacto bidireccional, el actor inicial, u otro miembro del equipo del actor, puede pasar un tiempo considerable interactuando con la víctima para aumentar la sensación de legitimidad y generar familiaridad y confianza». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.