Los ciberatacantes buscan víctimas con una nueva y peligrosa campaña.

Sophos, mediante su Counter Threat Unit (CTU), ha estado analizando una campaña denominada “Contagious Interview”. Es llevada a cabo por NICKEL ALLEY, un grupo de amenazas que opera en nombre del gobierno de Corea del Norte.

Este grupo es conocido por dirigirse a profesionales del sector tecnológico mediante la publicación de ofertas de empleo falsas. Engañan a los candidatos a través de un proceso de entrevista ficticio y, finalmente, entregan malware.

En ataques dirigidos, NICKEL ALLEY suele crear una página de empresa falsa en LinkedIn para generar credibilidad. Además, mantiene una cuenta coordinada en GitHub para la distribución de malware.

En algunos casos, los actores de amenazas han utilizado la popular táctica ClickFix para entregar malware. Esto ocurre mediante supuestas evaluaciones de habilidades laborales.

Además, el grupo también ha llevado a cabo ataques oportunistas comprometiendo repositorios.

En concreto, de acuerdo con la investigación de Sophos, NICKEL ALLEY actualiza su infraestructura de red. Esto le permite alinearse con sus señuelos de ingeniería social y evadir detecciones.

El grupo generalmente apunta a profesionales del sector tecnológico abiertos a trabajos freelance u otras oportunidades laborales. Los actores de amenazas suelen convencer a las víctimas de ejecutar el malware en sus sistemas corporativos.

Esto los expone no solo a ellos, sino también a las organizaciones a este riesgo.

Dada la popularidad de la táctica ClickFix en diversas campañas, todas las empresas deberían monitorear la ejecución de comandos. Especialmente aquellos derivados de datos del portapapeles del navegador.

Asimismo, los equipos de defensa deben prestar atención a comandos sospechosos. Estos pueden involucrar una combinación de curl, PowerShell y la ejecución de archivos desde el directorio %TEMP%.

Si bien estos ataques parecen tener como objetivo principal el robo de monedas virtuales, el grupo ha demostrado otra intención. Busca utilizar el acceso inicial para comprometer cadenas de suministro o llevar a cabo espionaje corporativo.

Las solicitudes persistentes para que las víctimas ejecuten código en sistemas corporativos refuerzan esta intención. En lugar de hacerlo en equipos personales.

Sophos recomienda a las organizaciones monitorear la ejecución de comandos. También sugiere revisar el tráfico de red generado por procesos de Node.js.

Esto puede indicar la descarga de malware.

Como práctica general de seguridad, se recomienda fomentar que los empleados reporten contactos sospechosos. Especialmente reclutamientos no solicitados a través de redes sociales o correo electrónico.

Para revisar la investigación en detalle, es posible hacerlo en este link.