LinkedIn se ha convertido en un campo de batalla: ¿cómo protegerse de los hackers norcoreanos?
Cuando una entrevista soñada se convierte en una pesadilla digital.
Los investigadores en ciberseguridad advierten sobre nuevos ataques realizados por hackers de Corea del Norte, que utilizan la plataforma LinkedIn para distribuir un malware llamado RustDoor. Los especialistas del laboratorio Jamf Threat Labs informaron que detectaron un intento de hackeo, en el cual los atacantes se hicieron pasar por reclutadores de la bolsa de criptomonedas descentralizada STON.fi.
Estos ataques, según se ha descubierto, forman parte de una campaña más amplia iniciada por hackers estatales de Corea del Norte. Están dirigidos a infiltrar las redes de empresas bajo el pretexto de realizar entrevistas o pruebas de habilidades de programación. Los principales objetivos son los sectores financieros y de criptomonedas, donde los atacantes buscan obtener ganancias ilegales rápidamente y cumplir con ciertas tareas en interés del régimen norcoreano.
Este tipo de ataques se caracteriza por un alto grado de adaptación a la víctima y una dificultad considerable para detectarlos. Es ingeniería social dirigida a empleados de empresas en el ámbito de las finanzas descentralizadas, criptomonedas y sectores relacionados.
Uno de los signos característicos de estos ataques es la solicitud para instalar programas o ejecutar código en dispositivos con acceso a redes corporativas. Por ejemplo, los atacantes pueden ofrecer realizar una "prueba previa" o ejecutar tareas de depuración utilizando paquetes no estándar de Node.js, PyPI o repositorios de GitHub.
Recientemente, los especialistas de Jamf detectaron un intento de hackeo en el que a la víctima se le pidió descargar un proyecto para Visual Studio como parte de una "prueba técnica". Este proyecto contenía comandos ocultos que descargaban dos archivos maliciosos: "VisualStudioHelper" y "zsh_env". Ambos archivos cumplían funciones similares, insertando programas maliciosos de segunda fase, incluidos RustDoor, también conocido como Thiefbucket.
Cabe señalar que el malware RustDoor, dirigido a sistemas macOS, fue detectado por primera vez en febrero de 2024 por la empresa Bitdefender durante ataques a empresas de criptomonedas. También existe una versión para Windows, denominada GateDoor.
Además, VisualStudioHelper actúa como una herramienta para el robo de datos, solicitando la contraseña del sistema al usuario, imitando la interfaz del programa Visual Studio. Ambos componentes maliciosos utilizan diferentes servidores C2.
Los expertos destacan la importancia de educar a los empleados, especialmente a los desarrolladores, para prevenir este tipo de ataques. Los atacantes de Corea del Norte suelen dominar bien el inglés y se preparan meticulosamente, investigando sus objetivos antes de iniciar el ataque.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla