Correos Electrónicos de Trabajos Falsos Utilizados para Propagar el Malware BeaverTail

Un nuevo ciberataque está enfocándose en los buscadores de empleo, utilizando correos electrónicos de reclutamiento falsos para propagar malware disfrazado de inofensivos archivos de desarrollador.

Los expertos en ciberseguridad de ASEC, quienes identificaron por primera vez este malware, explican que este incidente representa una táctica en aumento donde los atacantes se disfrazan como reclutadores o miembros de comunidades de desarrolladores.

El incidente salió a la luz por primera vez el 29 de noviembre de 2024, cuando los hackers utilizaron la identidad de Dev.to para hacerse pasar por los desarrolladores de la plataforma.

Los atacantes enviaron correos electrónicos que contenían enlaces al repositorio de código BitBucket, solicitando a los usuarios que revisaran el proyecto. Los archivos del proyecto contenían malware oculto que estaba disfrazado de archivos de proyecto ordinarios.

Los archivos falsos incluían dos grandes amenazas: un malware basado en JavaScript llamado BeaverTail, disfrazado como un archivo “tailwind.config.js”, y un segundo componente llamado car.dll, que actúa como un descargador. Cuando se abren, estos archivos trabajan juntos para robar detalles de inicio de sesión, datos del navegador e incluso información de la billetera de criptomonedas.

“Se sabe que BeaverTail se distribuye principalmente en ataques de phishing disfrazados de ofertas de trabajo”, explicaron los investigadores de ASEC. Versiones anteriores de este ataque fueron detectadas en plataformas como LinkedIn.

El malware representa una amenaza significativa porque disimula su verdadero propósito imitando las operaciones estándar del sistema. El malware utiliza las herramientas PowerShell y rundll32, que son utilidades estándar de Windows, para evadir la detección por parte del software antivirus.

Después de penetrar en un sistema, el malware recupera y ejecuta Tropidoor, que funciona como una puerta trasera avanzada. La herramienta establece conexiones cifradas con servidores remotos mientras ejecuta más de 20 comandos diferentes que incluyen la eliminación de archivos, la inyección de código de programa y la captura de pantallazos.

“Tropidoor… recoge información básica del sistema y genera una clave aleatoria de 0x20 bytes, que se cifra con una clave pública RSA”, dijeron los investigadores. Esta conexión segura permite a los hackers controlar las máquinas infectadas sin ser detectados.

Los equipos de seguridad instan a todos a permanecer muy vigilantes en este momento. Desconfíe de los correos electrónicos de reclutamiento inesperados, especialmente aquellos con enlaces a repositorios de código o aquellos que le piden que descargue archivos de proyectos. Siempre verifique con la empresa oficial antes de abrir cualquier contenido.