Esa oferta de trabajo en su bandeja de entrada podría ser parte de un ciberataque norcoreano

por

Los profesionales de las industrias aeroespacial y de defensa deben estar atentos; Los investigadores de McAfee han detectado una ola de ofertas de trabajo falsas que contienen documentos maliciosos.

Correo electrónico de advertencia de notificación en la computadora portátil, pantalla de computadora que muestra alertas de malware o virus.

Imagen: iStockphoto / Sompong Lekhawattana

Una ola de correos electrónicos con ofertas de trabajo falsas de las principales empresas aeroespaciales y de defensa es en realidad una campaña de ciberdelito diseñada para recopilar información sobre profesionales en industrias sensibles. Descubierta por McAfee Advanced Threat Research (ATR), la campaña parece haber comenzado en abril de 2020 y se detectó hasta mediados de junio, y Hay señales reveladoras de que la campaña está siendo orquestada por conocidos grupos de piratería de Corea del Norte..

Según las similitudes, ATR encontrado en el código de Visual Basic utilizado para ejecutar el ataque y las funciones básicas familiares, “los indicadores de la campaña de 2020 apuntan a la actividad anterior de 2017 y 2019 que se atribuyó previamente al grupo de actores de amenazas conocido como Hidden Cobra, “decía el informe.

Hidden Cobra es un término general del gobierno de los EE. UU. Para los grupos de amenazas norcoreanos Lazarus, Kimsuky, KONNI y APT37, y al igual que las campañas de 2017 y 2019, este tiene el objetivo aparente de “recopilar información sobre tecnologías militares y de defensa clave”, ATR. dijo.

VER: Seguridad de confianza cero: una hoja de trucos (.) (TechRepublic)

La base de la campaña es simple: use ofertas de trabajo legítimas de los principales contratistas de defensa, conviértalas en ofertas de trabajo falsas y envíelas por correo electrónico directamente a los profesionales aeroespaciales y de defensa que puedan estar interesados ​​en ese tipo de puesto. La oferta contiene un documento malicioso de Microsoft Word que, una vez abierto, instala un software de recolección de datos que le dará al atacante acceso a información confidencial de identificación personal sobre la víctima.

Al igual que otros ataques de este tipo, no hay nada nuevo aquí: es una campaña familiar de phishing que se basa en que una víctima abra el documento malicioso y le permita descargar y ejecutar macros ocultas en una plantilla que se obtiene del comando del atacante y servidor de control.

Una vez que se ejecuta la carga útil, el ataque ejecuta macros que instalan archivos DLL maliciosos que, según ATR, están diseñados “para recopilar información de la máquina de las víctimas infectadas que podría usarse para identificar objetivos más interesantes”. Las DLL utilizadas en el ataque son versiones modificadas de DLL de software legítimo, lo que facilita que el archivo malicioso pase desapercibido.

Una vez instalada, la DLL utiliza técnicas de evasión activa imitando cadenas de usuario-agente de otras aplicaciones para que Windows asuma que es parte de una aplicación legítima. También agrega un archivo LNK a la carpeta de inicio de Windows para garantizar la persistencia.

Evitando la amenaza

McAfee señala en su informe que la campaña parece estar ampliando sus objetivos, con ejemplos de ofertas de trabajo falsas en las principales empresas de animación e informes falsos sobre las relaciones diplomáticas entre Estados Unidos y Corea contra los surcoreanos.

Aquí se aplican métodos de mitigación comunes, como no abrir archivos adjuntos de fuentes potencialmente sospechosas, verificar la fuente de un correo electrónico y no otorgar permisos para que los scripts o macros se ejecuten desde archivos descargados.

VER: Política de mejores prácticas de certificados SSL (TechRepublic Premium)

McAfee ATR también recomienda las siguientes estrategias para organizaciones cuyos miembros podrían ser objetivo:

  • Tenga un programa de inteligencia de amenazas que lo mantenga actualizado sobre las amenazas a su industria o función en particular.
  • Capacite a los usuarios para que detecten mensajes potencialmente maliciosos: “Los usuarios bien capacitados y preparados, informados con la inteligencia de amenazas más reciente sobre la actividad del adversario, son la primera línea de defensa”, dice el informe.
  • Asegúrese de que la seguridad de su dispositivo de usuario final sea adaptable, actualizada y capaz de detectar malware sin archivos.
  • Utilice un proxy web seguro para filtrar sitios web maliciosos conocidos y dominios de comando y control. Manténgalo actualizado con la información más reciente sobre amenazas conocida.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. ¿Podría Microsoft estar en camino de deshacerse de Windows a favor de Linux?
  2. Empresa de seguridad: WarezTheRemote falla podría convertir un control remoto de Comcast en un dispositivo de escucha
  3. Seguridad: esta desagradable sorpresa podría estar esperando a los minoristas cuando vuelvan a abrir
  4. 3 pasos de gestión de riesgos a seguir antes de un ciberataque

Deja un comentario