MADRID, 13 Mar. (Portaltic/EP) -
Investigadores han descubierto una campaña de 'phishing' con 'malware' personalizado en la que los ciberdelincuentes se hacen pasar por reclutadores en la plataforma de empleo LinkedIn para ejecutar código malicioso.
Según la firma de ciberseguridad Mandiant, los atacantes utilizan la ingeniería social para convencer a las víctimas de interactuar a través de WhatsApp, medio a través del cual distribuyen la puerta trasera PlankWalk escrito en C++, camuflado como una oferta de empleo.
Mandiant comenzó a investigar esta campaña en junio de 2022, cuando se percató de que iba dirigida a una empresa de tecnología con sede en Estados Unidos y de que estaba formada por tres variantes de 'malware' desconocido, con nombres TOUCHMOVE, SIDESHOW y TOUCHSHIFT.
Este presunto grupo de espionaje procedente de Corea del Norte, que recibe el nombre de UNC2970 -y que se vincula al conocido grupo UNC577-, se habría dirigido a los usuarios de Estados Unidos y Europa directamente a través de LinkedIn utilizando cuentas falsas para hacerse pasar por reclutadores.
"Estas cuentas están bien diseñadas y seleccionadas profesionalmente para imitar las identidades de los usuarios legítimos a fin de establecer una relación y aumentar la probabilidad de conversación e interacción", explica Mandiant en su informe.
De este modo, los ciberdelincuentes invitan a sus víctimas a entablar una conversación a través de WhatsApp y utilizan PlanWalk para propagar carga maliciosa tras enviarles una oferta de trabajo presuntamente legítima. Este virus está diseñado para dar acceso a usuarios maliciosos al control de un equipo infectado de manera remota.
El documento de la vacante no solo incluyen especificaciones de las condiciones del presunto puesto de empleo que ofrece, sino que también integra 'malware'. Este documento, además, viene en una carpeta ZIP que también contiene una versión personalizada de TightVNC.
Gracias a esta aplicación informática, que se instala en la memoria del dispositivo y que Mandiant denominda LidShift, los ciberdelincuentes pueden controlar las pantallas de estos equipos de forma remota.
Al ejecutarla, utiliza bibliotecas de enlace dinámico (DLL, por sus siglas en inglés)--código ejecutable que se carga bajo demanda-- cifradas y permite activar comandos como TouchShot, un registrador de capturas de pantalla, o TouchKey, que captura los movimientos de las teclas del dispositivo.
Otra de estas cargas útiles maliciosas es SideShow, que permite a los ciberdelincuentes ordenar hasta 49 comandos, como la ejecución de código arbitrario en el dispositivo comprometido, manipular la configuración del 'firewall' o ejecutar cargas útiles adicionales, entre otras acciones.