16 de septiembre de 2024Ravie LakshmananSeguridad financiera / Malware Los investigadores de ciberseguridad siguen advirtiendo sobre los intentos de los actores de amenazas norcoreanos de apuntar a posibles víctimas en LinkedIn para entregar malware llamado RustDoor. El último aviso proviene de Jamf Threat Labs, que dijo haber detectado un intento de ataque en el que se contactó a un usuario en la red social profesional al afirmar ser un reclutador para un intercambio legítimo de criptomonedas descentralizado (DEX) llamado STON.fi. La actividad cibernética maliciosa es parte de una campaña de múltiples frentes desatada por actores de amenazas cibernéticas respaldados por la República Popular Democrática de Corea (RPDC) para infiltrarse en redes de interés con el pretexto de realizar entrevistas o tareas de codificación. Los sectores financiero y de criptomonedas se encuentran entre los principales objetivos de los adversarios patrocinados por el estado que buscan generar ingresos ilícitos y cumplir con un conjunto de objetivos en constante evolución basados ​​en los intereses del régimen. Estos ataques se manifiestan en forma de «campañas de ingeniería social altamente personalizadas y difíciles de detectar» dirigidas a empleados de finanzas descentralizadas («DeFi»), criptomonedas y negocios similares, como lo destacó recientemente la Oficina Federal de Investigaciones (FBI) de Estados Unidos en un aviso. Uno de los indicadores notables de la actividad de ingeniería social de Corea del Norte se relaciona con solicitudes para ejecutar código o descargar aplicaciones en dispositivos propiedad de la empresa, o dispositivos que tienen acceso a la red interna de una empresa. Otro aspecto que vale la pena mencionar es que dichos ataques también involucran «solicitudes para realizar una ‘prueba previa al empleo’ o un ejercicio de depuración que implica ejecutar paquetes Node.js no estándar o desconocidos, paquetes PyPI, scripts o repositorios de GitHub». Los casos que presentan tales tácticas se han documentado ampliamente en las últimas semanas, lo que subraya una evolución persistente de las herramientas utilizadas en estas campañas contra los objetivos. La última cadena de ataques detectada por Jamf implica engañar a la víctima para que descargue un proyecto de Visual Studio con trampa explosiva como parte de un supuesto desafío de codificación que incorpora comandos bash para descargar dos payloads diferentes de segunda etapa («VisualStudioHelper» y «zsh_env») con funcionalidad idéntica. Este malware de segunda etapa es RustDoor, que la empresa está rastreando como Thiefbucket. Al momento de escribir este artículo, ninguno de los motores antimalware ha marcado el archivo de prueba de codificación comprimido como malicioso. Se cargó en la plataforma VirusTotal el 7 de agosto de 2024. «Los archivos de configuración integrados en las dos muestras de malware independientes muestran que VisualStudioHelper persistirá a través de cron, mientras que zsh_env persistirá a través del archivo zshrc», dijeron los investigadores Jaron Bradley y Ferdous Saljooki. RustDoor, una puerta trasera de macOS, fue documentada por primera vez por Bitdefender en febrero de 2024 en relación con una campaña de malware dirigida a empresas de criptomonedas. Un análisis posterior de S2W descubrió una variante de Golang denominada GateDoor que está diseñada para infectar máquinas Windows. Los hallazgos de Jamf son significativos, no solo porque marcan la primera vez que el malware se atribuye formalmente a actores de amenazas norcoreanos, sino también por el hecho de que el malware está escrito en Objective-C. VisualStudioHelper también está diseñado para actuar como un ladrón de información al recolectar archivos especificados en la configuración, pero solo después de solicitar al usuario que ingrese su contraseña del sistema haciéndola pasar como si se originara en la aplicación Visual Studio para evitar levantar sospechas. Sin embargo, ambas cargas útiles funcionan como una puerta trasera y utilizan dos servidores diferentes para las comunicaciones de comando y control (C2). «Los actores de amenazas continúan estando atentos para encontrar nuevas formas de perseguir a los que están en la industria de la criptografía», dijeron los investigadores. «Es importante capacitar a sus empleados, incluidos sus desarrolladores, para que sean cautelosos a la hora de confiar en quienes se conectan a través de las redes sociales y piden a los usuarios que ejecuten software de cualquier tipo. «Estos esquemas de ingeniería social llevados a cabo por la RPDC provienen de personas que dominan el inglés y entran en la conversación habiendo investigado bien a su objetivo». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.