El mensaje de LinkedIn que birla informacin reservado y dinero

thumbnail

Una campaña de ‘malware‘ adaptado vinculada al Conjunto Lazarus, que empleaba una oferta de empleo falsa en la plataforma profesional LinkedIn, ha dirigido sus ataques a instituciones militares y organizaciones aeroespaciales con la intención de acceder a información reservado y dinero de sus víctimas.

El laboratorio de ESET ha compartido el descubrimiento de una campaña de ciberataques «enormemente dirigidos» contra instituciones militares y compañías aeroespaciales que usaban mensajes falsificados de LinkedIn y técnicas de ocultación para eludir ser desenmascarados con la meta de lograr beneficios financieros y también información reservado.

Los ataques, llamados por ESET ‘Operación In(ter)ception’ debido a la muestra de ‘malware’ relacionada de nombre ‘Inception.dll’, se realizaron entre septiembre y diciembre del año pasado, como ha informado en un comunicado.

El ataque empezaba con un mensaje de LinkedIn, una oferta de empleo «bastante admisible, proveniente de una compañía relevante del campo», como explica el encargado de la investigación en ESET, Dominik Breitenbacher. No obstante, se trataba de un perfil de LinkedIn falso y los mensajes adjuntos mandados a lo largo de la charla contenían ficheros maliciosos.

Los mensajes se mandaban de manera directa por medio de un mensaje de LinkedIn o bien de e-mail que contenía un link a OneDrive. En el caso de los mensajes de mail, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn.

En el momento en que la víctima abría el fichero, un documento pdf supuestamente inofensivo con información salarial sobre la oferta falsa de trabajo, el ‘malware’ se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes lograban entrar, como persistencia en el sistema.

Desde ese instante, los atacantes usaban un ‘malware’ adaptado multietapa, que muy frecuentemente se disfraza de ‘software’ lícito, y versiones cambiadas de herramientas de código abierto. Además de esto, se aprovechaban de una táctica famosa como ‘living off the land’, consistente en usar herramientas de Windows para desarrollar sus operaciones maliciosas.

El encargado de la investigación señala que los ataques observados «muestran todos y cada uno de los signos propios de una campaña de espionaje y numerosas pistas que los relacionarían con el vil conjunto Lazarus». No obstante, la compañía no ha descubierto aún qué ficheros buscaban los criminales.

Aparte de las técnicas de espionaje, los estudiosos de ESET han encontrado pruebas de que los criminales estaban procurando lograr dinero de otras compañías desde las cuentas comprometidas. Entre los ‘mails’ de las víctimas se han encontrado comunicaciones sobre facturas impagadas entre el perjudicado y sus clientes del servicio en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes.

«Este intento de explotar comercialmente el acceso a la red de la víctima debe servir como un ejemplo en el momento de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar apropiadamente a los empleados de cualquier organización en ciberseguridad. Una concienciación básica en ciberseguridad ayuda a los trabajadores a conocer y a reconocer las tácticas utilizadas por los ciberdelincuentes por minoritarias que sean», concluye Breitenbacher.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir