Se ha observado que los actores de amenazas afiliados a Corea del Norte aprovechan LinkedIn como una forma de atacar a los desarrolladores como parte de una operación de contratación de empleo falsa.
Estos ataques emplean pruebas de codificación como un vector de infección inicial común, dijo Mandiant, propiedad de Google, en un nuevo informe sobre las amenazas que enfrenta el sector Web3.
El malware funciona como una plataforma de lanzamiento para comprometer el sistema macOS del objetivo al descargar una carga útil de segunda etapa que establece persistencia a través de agentes de lanzamiento y demonios de lanzamiento.
Vale la pena señalar que este es uno de los muchos grupos de actividades (es decir, Operation Dream Job, Contagious Interview y otros) llevados a cabo por grupos de piratas informáticos norcoreanos que utilizan señuelos relacionados con el trabajo para infectar a sus objetivos con malware.
Los señuelos con temática de reclutamiento también han sido una táctica frecuente para distribuir familias de malware como RustBucket y KANDYKORN.
Mandiant dijo que observó una campaña de ingeniería social que entregó un PDF malicioso disfrazado como una descripción del trabajo para un «Vicepresidente de Finanzas y Operaciones» en una importante bolsa de criptomonedas.
El implante RustBucket está equipado para recopilar información básica del sistema, comunicarse con una URL proporcionada a través de la línea de comandos y configurar la persistencia utilizando un Agente de lanzamiento que se disfraza de «Actualización de Safari» para contactar con un dominio de comando y control (C2) codificado.
Los ataques de Corea del Norte contra las organizaciones Web3 también van más allá de la ingeniería social para abarcar ataques a la cadena de suministro de software, como se observó en los incidentes dirigidos a 3CX y JumpCloud en los últimos años.
La revelación se produce en medio de una advertencia de la Oficina Federal de Investigaciones (FBI) de los EE. UU. sobre los actores de amenazas norcoreanos que apuntan a la industria de las criptomonedas utilizando «campañas de ingeniería social altamente personalizadas y difíciles de detectar».
Estos esfuerzos en curso, que se hacen pasar por empresas de contratación o personas que una víctima puede conocer personalmente o indirectamente con ofertas de empleo o inversión, se consideran un conducto para descarados robos de criptomonedas que están diseñados para generar ingresos ilícitos para el reino ermitaño, que ha sido objeto de sanciones internacionales.
Entre las tácticas empleadas se encuentran la identificación de empresas relacionadas con criptomonedas de interés, la realización de una amplia investigación preoperativa sobre sus objetivos antes de iniciar el contacto y la elaboración de escenarios falsos personalizados en un intento de atraer a posibles víctimas y aumentar la probabilidad de éxito de sus ataques.