Los ciberatacantes buscan víctimas con una nueva y peligrosa campaña.
Sophos, mediante su Counter Threat Unit (CTU), ha estado analizando una campaña denominada “Contagious Interview”. Es llevada a cabo por NICKEL ALLEY, un grupo de amenazas que opera en nombre del gobierno de Corea del Norte.
Este grupo es conocido por dirigirse a profesionales del sector tecnológico mediante la publicación de ofertas de empleo falsas. Engañan a los candidatos a través de un proceso de entrevista ficticio y, finalmente, entregan malware.
En ataques dirigidos, NICKEL ALLEY suele crear una página de empresa falsa en LinkedIn para generar credibilidad. Además, mantiene una cuenta coordinada en GitHub para la distribución de malware.
Además, el grupo también ha llevado a cabo ataques oportunistas comprometiendo repositorios.
En concreto, de acuerdo con la investigación de Sophos, NICKEL ALLEY actualiza su infraestructura de red. Esto le permite alinearse con sus señuelos de ingeniería social y evadir detecciones.
El grupo generalmente apunta a profesionales del sector tecnológico abiertos a trabajos freelance u otras oportunidades laborales. Los actores de amenazas suelen convencer a las víctimas de ejecutar el malware en sus sistemas corporativos.
Dada la popularidad de la táctica ClickFix en diversas campañas, todas las empresas deberían monitorear la ejecución de comandos. Especialmente aquellos derivados de datos del portapapeles del navegador.
Asimismo, los equipos de defensa deben prestar atención a comandos sospechosos. Estos pueden involucrar una combinación de curl, PowerShell y la ejecución de archivos desde el directorio %TEMP%.
Si bien estos ataques parecen tener como objetivo principal el robo de monedas virtuales, el grupo ha demostrado otra intención. Busca utilizar el acceso inicial para comprometer cadenas de suministro o llevar a cabo espionaje corporativo.
Sophos recomienda a las organizaciones monitorear la ejecución de comandos. También sugiere revisar el tráfico de red generado por procesos de Node.js.
Esto puede indicar la descarga de malware.
Como práctica general de seguridad, se recomienda fomentar que los empleados reporten contactos sospechosos. Especialmente reclutamientos no solicitados a través de redes sociales o correo electrónico.
Para revisar la investigación en detalle, es posible hacerlo en este link.
El piloto oriundo de Zapallar de 11 años, disputará este fin de semana la tercera…
El sector automotor cerró el primer semestre con un moderado crecimiento. Aunque sin grandes saltos.…
Chile como Hub Regional de marca global. Cómo el país se convirtió en centro operativo…
La cadena preparó una semana completa de descuentos y beneficios, donde los propios fanáticos podrán…
Con la llegada del peak invernal, Autoplanet lanzó una campaña con descuentos de entre 10%…
La tecnología Real Quantum Dots de Samsung permite disfrutar de colores vivos y visión segura. …