Los piratas informáticos se dirigen cada vez más a los trabajadores remotos explotando las vulnerabilidades creadas por el cambio al trabajo desde casa.
Utilizan tácticas como el “phishing de voz” (vishing) para obtener acceso a las redes corporativas. Suplantar al personal de TI y engañar a los empleados para que proporcionen información confidencial a través de una página de inicio de sesión falsa.
Los investigadores de Zscaler descubrieron recientemente que los piratas informáticos norcoreanos están empleando activamente nuevas tácticas para conseguir trabajo remoto.
Los hackers norcoreanos y el trabajo remoto
Los ciberatacantes norcoreanos orquestaron dos sofisticadas campañas en noviembre de 2023 llamadas “Entrevista de contagio” y “WageMole”. Estas dos campañas fueron diseñadas para eludir las sanciones financieras internacionales.
Relación entre la entrevista contagiosa y la campaña WageMole (Fuente – Zscaler)
La “entrevista de contagio” inicialmente estaba dirigida a “desarrolladores completos”, “expertos en criptomonedas” y “especialistas en inteligencia artificial” y atraía a las víctimas publicando información laboral falsa en plataformas como Freelancer.
Estrategias para proteger su sitio web y API de ataques de malware -> Webinar gratuito
Los atacantes implementaron dos componentes principales de malware:
BeaverTail: malware basado en JavaScript que utiliza técnicas avanzadas de ofuscación y carga dinámica. InvisibleFerret: puerta trasera basada en Python con capacidades de registro de teclas. Cadena de infección de BeaverTail e InvisibleFerret (Fuente – Zscaler)
Estas herramientas se distribuyeron a través de paquetes NPM maliciosos, instaladores de Windows y aplicaciones macOS disfrazadas de software de chat.
La campaña de entrevistas contagiosas utiliza InvisibleFerret para extraer datos de las víctimas (Fuente – Zscaler)
En agosto de 2024, la funcionalidad de InvisibleFerret se amplió para incluir el comando “ssh_zcp” para “robo de extensiones del navegador”, “datos de billetera de criptomonedas” e “información del administrador de contraseñas”.
Toda esta información se comprime con cifrado AES usando 'py7zr.SevenZipFile' (para Windows) o 'pyzipper.AESZipFile' (para sistemas que no son Windows).
El malware también obtuvo “control remoto” al utilizar el “/uploads URI” para robar datos a través del “protocolo HTTP” en lugar del “servidor FTP” y al instalar el cliente “AnyDesk”.
Esta operación comprometió 140 dispositivos en plataformas Windows OS (50%), Linux y Mac dirigidas a desarrolladores ubicados en:
India Pakistán Kenia Nigeria España Rusia
En este caso, la información personal robada se utilizó posteriormente para hacerse pasar por empresas occidentales durante la campaña “WageMole” para asegurar posiciones en ubicaciones remotas y lograr estrategias de evasión de sanciones.
El proceso operativo de una campaña WageMole se estructura en etapas (Fuente – Zscaler)
Estos operativos generan cuidadosamente identidades legales falsas utilizando documentos editados por IA, utilizando herramientas como Spring Boot, React/Next.js, Laravel, Symfony, Node.js, TypeScript, WordPress y ASP. Cree una cartera extensa como una pila completa. Desarrollador con habilidades en .NET y más. .
Están en LinkedIn, Indeed, Glassdoor y Upwork, mantuvieron cuentas de GitHub y administraron su proceso de desarrollo leyendo los informes de Zscaler.
Dichos repositorios se han convertido en un patrón de sistema, especialmente en relación con proyectos relacionados con criptomonedas, que involucran el desarrollo de personal tanto de primera línea como de backend en la implementación del trabajo (“D:\Work\Crypto\Crypo -backend\app”). y “D:\Trabajo\Crypto\Crypto-frontend”.
Para aumentar las sospechas durante la entrevista, utilizaron narración de IA para preguntas técnicas sobre React.JS, Flutter, API de backend y prepararon exhaustivamente cómo funciona Agile/Scrum. Incluso puede documentarse.
Los objetivos de los agentes parecen ser pequeñas y medianas empresas de diferentes sectores, como TI, atención sanitaria, comercio minorista y finanzas, y utilizan Skype para realizar entrevistas mientras se hacen pasar por Estados Unidos.
Comparten fragmentos de código entre ellos y los pagos parecen realizarse a través de Eurobank o “Paypal/Payoneer”, normalmente alrededor de 48.000 euros al año, pero por hora si se trabaja a tiempo completo. Hay un contrato de 12 euros, todos los pagos se realizan. . a sus habilidades técnicas para eludir las sanciones globales;
Recomendaciones
Todas las recomendaciones se enumeran a continuación: –
Monitorear ejecuciones/conexiones asociadas a IOCs. No almacene datos confidenciales en texto sin formato. No mantengas tu información personal segura. Tenga cuidado con los contactos desconocidos. Ejecute archivos sospechosos en un entorno virtual. Supervise su correo electrónico y sus contactos sociales que figuran en el COI. Verifique el historial laboral del candidato directamente. Restrinja el acceso a nuevos empleados durante el período de prueba. Realizaremos una verificación de antecedentes exhaustiva. Verificar el lugar de trabajo del solicitante. Autentica tu identificación para evitar fraudes.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
