Los Hackers Apuntan a la Industria Aeroespacial con Ofertas de Trabajo Falsas y Malware Oculto

Una reciente campaña cibernética, conocida como la campaña “Iranian Dream Job”, está dirigida a empleados de los sectores aeroespacial, aviación y defensa, prometiendo ofertas de trabajo atractivas.

La empresa de ciberseguridad ClearSky reveló que esta campaña es obra de un grupo vinculado a la organización de piratería informática iraní conocida como “Charming Kitten” (también referida como APT35).

La campaña tiene como objetivo infiltrarse en empresas seleccionadas y robar información sensible al engañar a las personas para que descarguen un software malicioso disfrazado de material relacionado con el empleo.

ClearSky afirma que la estafa “Dream Job” involucra perfiles falsos de reclutadores en LinkedIn, a menudo utilizando empresas falsas para atraer a las víctimas a descargar malware. El malware en cuestión, llamado SnailResin, infecta la computadora de la víctima, permitiendo a los hackers recopilar datos confidenciales y monitorear las actividades dentro de la red.

ClearSky señala que estos hackers han perfeccionado sus técnicas, como el uso de servicios genuinos de la nube como Cloudflare y GitHub para ocultar enlaces maliciosos, lo que hace que su detección sea un desafío.

Curiosamente, los hackers iraníes han adoptado las tácticas del Grupo Lazarus de Corea del Norte, quienes iniciaron la estafa “Trabajo Soñado” en 2020. Al imitar el enfoque de Lazarus, los hackers iraníes confunden a los investigadores, dificultando rastrear los ataques hasta ellos.

ClearSky explica que el ataque utiliza un método llamado carga lateral de DLL, que permite que el malware se infiltre en una computadora haciéndose pasar por un archivo de software legítimo. Esta técnica, junto con el uso de archivos encriptados y codificación compleja, ayuda a los hackers a eludir medidas de seguridad comunes.

Según ClearSky, el malware logra evadir muchos programas antivirus, con solo unas pocas herramientas de seguridad capaces de identificarlo. Desde septiembre de 2023, la campaña “Dream Job” de Irán se ha adaptado y evolucionado, actualizando regularmente sus tácticas y malware para mantenerse un paso adelante de las defensas de ciberseguridad, dice ClearSky.

Grandes empresas de ciberseguridad, incluyendo Mandiant, han detectado su actividad en varios países, especialmente en el Medio Oriente, señala ClearSky. Destacan su persistencia y sofisticación, señalando que la estructura de la campaña cambia con frecuencia, convirtiéndola en una amenaza constante para las industrias objetivo.

ClearSky advierte que las organizaciones en los sectores aeroespacial, defensa y similares de alto riesgo deben mantenerse vigilantes y adoptar medidas proactivas para combatir este tipo de ataques.

Al educar a los empleados sobre los riesgos del phishing y las ofertas de trabajo falsas e implementar protocolos de seguridad robustos, las empresas pueden ayudar a reducir la vulnerabilidad a estas amenazas cibernéticas altamente engañosas.