Hackers norcoreanos utilizan falsas ofertas de trabajo en LinkedIn

Los actores de amenazas de Corea del Norte han estado usando LinkedIn para dirigirse a desarrolladores a través de falsos esquemas de reclutamiento de empleo, según se informó hoy en Hacker News. Los atacantes utilizan pruebas de programación como método inicial para infectar a las víctimas, tal como se destacó en un informe de Mandiant, propiedad de Google.

Los esquemas con temática de reclutamiento de Corea del Norte se han utilizado ampliamente para entregar malware, incluyendo falsas aplicaciones de videoconferencia, dirigiéndose a buscadores de empleo en plataformas como LinkedIn y Upwork. Después de hacer el primer contacto, los hackers guían a las víctimas para que descarguen software malicioso a través de aplicaciones de mensajería como Telegram.

Los investigadores de Mandiant explicaron que los recientes robos en intercambios de criptomonedas están conectados a un patrón más amplio de ingeniería social. En estos esquemas, se contacta a los desarrolladores bajo la pretensión de ofertas de trabajo.

Muestran un ejemplo de un ingeniero al que se le envió un archivo ZIP que contenía malware disfrazado de un desafío de codificación en Python, comprometiendo el sistema macOS del usuario con malware secundario. Este malware persistió a través de los agentes de inicio de macOS, poniendo en mayor riesgo el sistema del usuario.

Estas tácticas no se limitan a los desarrolladores. Los profesionales de finanzas también han sido blanco de ataques. En otro incidente, Mandiant observó un PDF malicioso que se envió como parte de una falsa oferta de trabajo para un puesto de alto nivel en una casa de cambio de criptomonedas.

El PDF instaló RUSTBUCKET, un malware de puerta trasera que recopila datos del sistema y ejecuta archivos. Permaneció activo al hacerse pasar por una “Actualización de Safari” y se conectó a un servidor de comando y control.

Según la FBI, estos tipos de ciberataques son cuidadosamente planificados. Los hackers utilizan información personal y establecen una relación con las víctimas para hacer sus tramas más convincentes. Una vez que se establece el contacto, los atacantes pueden pasar un tiempo significativo interactuando con sus objetivos para fomentar la confianza.

Para mitigar estos riesgos, la FBI sugiere verificar las identidades de contacto a través de diferentes plataformas, evitar almacenar información de la cartera de criptomonedas en dispositivos conectados a internet, y usar máquinas virtuales para cualquier prueba pre-empleo. También recomiendan bloquear las descargas no autorizadas y limitar el acceso a información sensible.

Si sospechas que tu empresa ha sido el objetivo, el FBI recomienda desconectar los dispositivos afectados de internet y presentar una denuncia detallada ante el Centro de Denuncias de Delitos en Internet del FBI.