Se ha observado que actores de amenazas afiliados a Corea del Norte utilizan LinkedIn como una forma de apuntar a desarrolladores como parte de una operación falsa de reclutamiento laboral.
Estos ataques emplean pruebas de codificación como un vector de infección inicial común, dijo Mandiant, propiedad de Google, en un nuevo informe sobre las amenazas que enfrenta el sector Web3.
«Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía el malware COVERTCATCH disfrazado de un desafío de codificación Python», dijeron los investigadores Robert Wallace, Blas Kojusner y Joseph Dobson.
El malware funciona como una plataforma de lanzamiento para comprometer el sistema macOS del objetivo mediante la descarga de una carga útil de segunda etapa que establece persistencia a través de agentes de lanzamiento y demonios de lanzamiento.
Vale la pena señalar que este es uno de los muchos grupos de actividades (a saber, Operation Dream Job, Contagious Interview y otros) llevados a cabo por grupos de piratas informáticos norcoreanos que utilizan señuelos relacionados con el trabajo para infectar objetivos con malware.
Los señuelos con temática de reclutamiento también han sido una táctica frecuente para distribuir familias de malware como RustBucket y KANDYKORN.
Mandiant dijo que observó una campaña de ingeniería social que entregó un PDF malicioso disfrazado de descripción de trabajo para un «Vicepresidente de Finanzas y Operaciones» en un importante intercambio de criptomonedas.
«El PDF malicioso introdujo un malware de segunda etapa conocido como RustBucket, que es una puerta trasera escrita en Rust que admite la ejecución de archivos».
El implante RustBucket está equipado para recopilar información básica del sistema, comunicarse con una URL proporcionada a través de la línea de comandos y configurar la persistencia utilizando un agente de lanzamiento que se disfraza como una «actualización de Safari» para contactar un dominio de comando y control (C2) codificado.
Los ataques de Corea del Norte a organizaciones Web3 también van más allá de la ingeniería social y abarcan ataques a la cadena de suministro de software, como se observó en los incidentes dirigidos a 3CX y JumpCloud en los últimos años.
«Una vez que se establece un punto de apoyo a través del malware, los atacantes recurren a los administradores de contraseñas para robar credenciales, realizar reconocimiento interno a través de repositorios de código y documentación, y recurrir al entorno de alojamiento en la nube para revelar claves de billetera activa y, finalmente, drenar los fondos», dijo Mandiant.
La revelación se produce en medio de una advertencia de la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre los ataques de actores de amenazas norcoreanos a la industria de las criptomonedas utilizando «campañas de ingeniería social altamente personalizadas y difíciles de detectar».
Estos esfuerzos continuos, que se hacen pasar por empresas de reclutamiento o individuos que la víctima puede conocer personalmente o indirectamente con ofertas de empleo o inversión, son vistos como un conducto para descarados robos de criptomonedas que están diseñados para generar ingresos ilícitos para el reino hermitaño, que ha sido objeto de sanciones internacionales.
Entre las tácticas empleadas se incluyen la identificación de empresas de interés relacionadas con criptomonedas, la realización de una extensa investigación preoperacional sobre sus objetivos antes de iniciar el contacto y la elaboración de escenarios falsos personalizados en un intento de atraer a posibles víctimas y aumentar la probabilidad de éxito de sus ataques.
«Los actores pueden hacer referencia a información personal, intereses, afiliaciones, eventos, relaciones personales, conexiones profesionales o detalles que una víctima puede creer que son conocidos por pocas personas», dijo el FBI, destacando los intentos de construir una relación y eventualmente entregar malware.
«Si se logra establecer contacto bidireccional, el actor inicial u otro miembro del equipo del actor puede pasar un tiempo considerable interactuando con la víctima para aumentar la sensación de legitimidad y generar familiaridad y confianza».