Los piratas informáticos se dirigen principalmente a quienes buscan empleo para obtener beneficios económicos y obtener información personal confidencial.
Muchos solicitantes de empleo están tan ansiosos por encontrar trabajo que corren el riesgo de verse expuestos a estafas de phishing y ofertas de trabajo falsas.
Los analistas de ciberseguridad de Palo Alto Networks descubrieron recientemente que los piratas informáticos norcoreanos están atacando activamente a los solicitantes de empleo para implementar múltiples malware.
Un hacker norcoreano se hace pasar por un reclutador
Los investigadores han descubierto que los piratas informáticos norcoreanos (seguidos como la Campaña de Entrevistas Contagiosas CL-STA-240) están apuntando a quienes buscan empleo en la industria de la tecnología a través de sofisticados ataques de “ingeniería social”.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
Los actores de amenazas se hacen pasar por reclutadores realizando “entrevistas online falsas” en plataformas especializadas como LinkedIn y distribuyen dos tipos principales de malware:
Reclutador falso en X (Fuente: Palo Alto Networks) BeaverTail Downloader InvisibleFerret Backdoor
La última versión de BeaverTail se desarrolló utilizando “Qt Framework” para compatibilidad multiplataforma.
Esta variante está dirigida a los sistemas operativos Windows (archivos .msi) y macOS (archivos .dmg), haciéndose pasar por aplicaciones legítimas como “MiroTalk” y “FreeConference”.
Además de esto, también hemos incluido “robo de contraseña del navegador”, “objetivo de billetera criptográfica” (ampliado de 9 a 13 extensiones de billetera diferentes), “servidor C2”. Funciones como “fuga de datos a través de 24 en el puerto 1224.
Tras una infección exitosa, BeaverTail instala la programación Python para implementar la puerta trasera InvisibleFerret. Opera de forma encubierta mientras presenta una GUI falsa a la víctima, lo que dificulta los ataques en múltiples plataformas.
La puerta trasera de Python “InvisibleFerret” es una sofisticada arquitectura de malware que consta de tres componentes interconectados.
Estos tres “componentes interconectados” se describen a continuación.
Módulo de descarga inicial que establece la infección recuperando cargas útiles adicionales. Con funciones avanzadas (huellas digitales de terminales, control remoto del sistema, capacidades de registro de teclas, extracción de archivos confidenciales e implementación del cliente AnyDesk bajo demanda para un acceso remoto mejorado) Principales componentes de carga útil. Un componente especializado en ladrones de navegadores diseñado para recopilar credenciales del navegador e información de tarjetas de pago. Componente InvisibleFerret (Fuente: Palo Alto Networks)
El malware ha evolucionado a través de múltiples versiones, con código mejorado para la función ssh_cmd y el subcomando ss_ufind.
Estas mejoras ahora utilizan los comandos de búsqueda de Windows findtr y macOS para búsquedas optimizadas de patrones de archivos.
Este conjunto de malware plantea un riesgo significativo tanto para los usuarios individuales como para las redes corporativas debido a su funcionalidad integral y su potencial de movimiento lateral dentro de las organizaciones comprometidas.
Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
North Korean Posing as Recruiters to Attack Job Seekers Device
