El ciberdelito avanza en el sector TI con empresas y ofertas de empleo falsas
Los ciberatacantes buscan víctimas con una nueva y peligrosa campaña.
Sophos, mediante su Counter Threat Unit (CTU) ha estado analizando una campaña denominada “Contagious Interview”, llevada a cabo por NICKEL ALLEY, un grupo de amenazas que opera en nombre del gobierno de Corea del Norte. Este grupo es conocido por dirigirse a profesionales del sector tecnológico mediante la publicación de ofertas de empleo falsas, engañando a los candidatos a través de un proceso de entrevista ficticio y, finalmente, entregando malware.
En ataques dirigidos, NICKEL ALLEY suele crear una página de empresa falsa en LinkedIn para generar credibilidad y mantiene una cuenta coordinada en GitHub para la distribución de malware.
En algunos casos, los actores de amenazas han utilizado la popular táctica ClickFix para entregar malware mediante supuestas evaluaciones de habilidades laborales. Además, el grupo también ha llevado a cabo ataques oportunistas comprometiendo repositorios.
En concreto, de acuerdo con la investigación de Sophos, NICKEL ALLEY actualiza su infraestructura de red para alinearse con sus señuelos de ingeniería social y evadir detecciones. El grupo generalmente apunta a profesionales del sector tecnológico abiertos a trabajos freelance u otras oportunidades laborales. Los actores de amenazas suelen convencer a las víctimas de ejecutar el malware en sus sistemas corporativos, exponiéndolos no solo a ellos, sino que también a las organizaciones a este riesgo.
Dada la popularidad de la táctica ClickFix en diversas campañas tanto de ciberdelincuentes como de actores patrocinados por Estados, todas las empresas deberían monitorear la ejecución de comandos derivados de datos del portapapeles del navegador. Asimismo, los equipos de defensa deben prestar atención a comandos sospechosos que involucren una combinación de curl, PowerShell y la ejecución de archivos desde el directorio %TEMP%.
Si bien estos ataques parecen tener como objetivo principal el robo de monedas virtuales, el grupo ha demostrado su intención de utilizar el acceso inicial para comprometer cadenas de suministro o llevar a cabo espionaje corporativo. Las solicitudes persistentes para que las víctimas ejecuten código en sus sistemas corporativos —en lugar de en equipos personales— refuerzan esta intención.
Sophos recomienda a las organizaciones monitorear la ejecución de comandos y el tráfico de red generado por procesos de Node.js, ya que esto puede indicar la descarga de malware. Como práctica general de seguridad, se sugiere también a las empresas fomentar que los empleados reporten cualquier contacto sospechoso de reclutamiento no solicitado a través de redes sociales o correo electrónico.
Para revisar la investigación en detalle, es posible hacerlo en este link.