Se ha observado que actores maliciosos afiliados a Corea del Norte utilizan LinkedIn como medio para apuntar a desarrolladores en una operación de contratación de trabajo falsa.
Estos ataques utilizan pruebas de codificación como vector de infección inicial común, dijo Mandiant, propiedad de Google, en un nuevo informe sobre las amenazas que enfrenta la industria Web3.
“Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía el malware COVERTCATCH disfrazado de un desafío de codificación Python”, dijeron los investigadores Robert Wallace, Blas Kojusner y Joseph Dobson.
El malware funciona como una plataforma de lanzamiento para comprometer el sistema macOS del objetivo mediante la descarga de una carga útil de segunda etapa que establece persistencia a través de agentes de lanzamiento y demonios de lanzamiento.
Cabe señalar que esta es una de varias actividades llevadas a cabo por grupos de hackers norcoreanos, incluidos Operation Dream Job, Contagious Interview y otros, que utilizan señuelos relacionados con el trabajo para infectar a sus objetivos con malware.
Los señuelos con temas de reclutamiento también han sido una táctica común para difundir familias de malware como RustBucket y KANDYKORN.
Mandiant dijo que observó una campaña de ingeniería social que distribuía un PDF malicioso disfrazado de descripción del trabajo de un “vicepresidente de finanzas y operaciones” en un importante intercambio de criptomonedas.
“El PDF malicioso eliminó un malware de segunda etapa conocido como RustBucket, que es una puerta trasera escrita en Rust que admite la ejecución de archivos. »
El implante RustBucket está equipado para recopilar información básica del sistema, comunicarse con una URL proporcionada a través de la línea de comando y configurar la persistencia usando un agente de lanzamiento que se disfraza como una “actualización de Safari” para comunicarse con un dominio de comando y control (C2) codificado. .
Los ataques a organizaciones Web3 por parte de Corea del Norte también se extienden más allá de la ingeniería social para abarcar ataques a la cadena de suministro de software, como se vio en incidentes dirigidos a 3CX y JumpCloud en los últimos años.
“Una vez que se establece un punto de apoyo a través del malware, los atacantes recurren a administradores de contraseñas para robar credenciales, realizar reconocimiento interno a través de repositorios de códigos y documentación, y buscar en el entorno de alojamiento en la nube para revelar claves de billetera activas y potencialmente drenar fondos”, dijo Mandiant.
La revelación se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. emitió una advertencia sobre los malos actores norcoreanos que apuntan a la industria de las criptomonedas utilizando “campañas de ingeniería social altamente específicas y difíciles de detectar”.
Estos esfuerzos en curso, que se hacen pasar por empresas de contratación o personas que una víctima puede conocer personal o indirectamente con ofertas de trabajo o de inversión, se consideran un conducto para descarados robos de criptomonedas diseñados para generar ingresos ilícitos para un reino ermitaño, que ha sido objeto de sanciones internacionales. .
Las tácticas incluyen identificar negocios de interés relacionados con las criptomonedas, realizar una investigación preoperativa en profundidad sobre sus objetivos antes de iniciar el contacto y desarrollar escenarios personalizados falsos para intentar atraer clientes potenciales y aumentar las posibilidades de éxito de sus ataques.
“El actor puede referirse a información personal, intereses, afiliaciones, eventos, relaciones personales, conexiones profesionales o detalles que una víctima puede creer que son conocidos por pocos”, dijo el FBI, enfatizando los intentos de establecer una relación y, en última instancia, distribuir malware.
“Si logra establecer un contacto bidireccional, el actor inicial, u otro miembro de su equipo, puede dedicar un tiempo considerable a interactuar con la víctima para aumentar la sensación de legitimidad y generar familiaridad y confianza. »