Los investigadores de ciberseguridad siguen advirtiendo sobre los intentos de los actores de amenazas norcoreanos de apuntar a posibles víctimas en LinkedIn para distribuir malware llamado RustDoor.
El último aviso proviene de Jamf Threat Labs, que dijo haber detectado un intento de ataque en el que un usuario fue contactado en la red social profesional afirmando ser un reclutador para un intercambio de criptomonedas descentralizado legítimo (DEX) llamado STON.fi.
La actividad cibernética maliciosa es parte de una campaña de múltiples frentes desatada por actores de amenazas cibernéticas respaldados por la República Popular Democrática de Corea (RPDC) para infiltrarse en redes de interés con el pretexto de realizar entrevistas o tareas de codificación.
Los sectores financiero y de criptomonedas se encuentran entre los principales objetivos de los adversarios patrocinados por el Estado que buscan generar ingresos ilícitos y cumplir un conjunto de objetivos en constante evolución basados en los intereses del régimen.
Estos ataques se manifiestan en forma de «campañas de ingeniería social altamente personalizadas y difíciles de detectar» dirigidas a empleados de finanzas descentralizadas («DeFi»), criptomonedas y negocios similares, como lo destacó recientemente la Oficina Federal de Investigaciones de Estados Unidos (FBI) en un aviso.
Uno de los indicadores notables de la actividad de ingeniería social de Corea del Norte se relaciona con las solicitudes para ejecutar código o descargar aplicaciones en dispositivos propiedad de la empresa o dispositivos que tienen acceso a la red interna de una empresa.
Otro aspecto que vale la pena mencionar es que dichos ataques también implican «solicitudes para realizar una ‘prueba previa al empleo’ o un ejercicio de depuración que implica la ejecución de paquetes Node.js, paquetes PyPI, scripts o repositorios de GitHub no estándar o desconocidos».
En las últimas semanas se han documentado ampliamente casos de este tipo de tácticas, lo que pone de relieve una evolución persistente de las herramientas utilizadas en estas campañas contra los objetivos.
La última cadena de ataque detectada por Jamf implica engañar a la víctima para que descargue un proyecto de Visual Studio con trampa explosiva como parte de un supuesto desafío de codificación que incorpora comandos bash para descargar dos cargas útiles de segunda etapa diferentes («VisualStudioHelper» y «zsh_env») con funcionalidad idéntica.
Este malware de segunda etapa es RustDoor, que la empresa está rastreando como Thiefbucket. Al momento de escribir este artículo, ninguno de los motores antimalware ha marcado El archivo de prueba de codificación comprimido es malicioso. Se cargó en la plataforma VirusTotal el 7 de agosto de 2024.
«Los archivos de configuración integrados en las dos muestras de malware independientes muestran que VisualStudioHelper persistirá a través de cron, mientras que zsh_env persistirá a través del archivo zshrc», dijeron los investigadores Jaron Bradley y Ferdous Saljooki.
RustDoor, una puerta trasera para macOS, fue documentada por primera vez por Bitdefender en febrero de 2024 en relación con una campaña de malware dirigida a empresas de criptomonedas. Un análisis posterior de S2W descubrió una variante de Golang denominada GateDoor que está destinada a infectar máquinas Windows.
Los hallazgos de Jamf son significativos, no sólo porque marcan la primera vez que el malware se atribuye formalmente a actores de amenazas norcoreanos, sino también por el hecho de que el malware está escrito en Objective-C.
VisualStudioHelper también está diseñado para actuar como un ladrón de información al recolectar archivos especificados en la configuración, pero solo después de solicitarle al usuario que ingrese su contraseña del sistema haciéndola pasar como si se originara en la aplicación de Visual Studio para evitar levantar sospechas.
Sin embargo, ambas cargas útiles funcionan como una puerta trasera y utilizan dos servidores diferentes para las comunicaciones de comando y control (C2).
«Los actores de amenazas siguen estando alertas para encontrar nuevas formas de perseguir a quienes trabajan en la industria de las criptomonedas», dijeron los investigadores. «Es importante capacitar a sus empleados, incluidos los desarrolladores, para que sean cautelosos a la hora de confiar en quienes se conectan en las redes sociales y piden a los usuarios que ejecuten software de cualquier tipo.
«Estos esquemas de ingeniería social llevados a cabo por la RPDC provienen de personas que dominan el inglés y entran en la conversación habiendo investigado bien su objetivo».