{"id":1346868,"date":"2024-09-04T16:33:24","date_gmt":"2024-09-04T16:33:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-atacan-a-solicitantes-de-empleo-con-una-aplicacion-falsa-freeconference\/"},"modified":"2024-09-04T16:33:28","modified_gmt":"2024-09-04T16:33:28","slug":"hackers-norcoreanos-atacan-a-solicitantes-de-empleo-con-una-aplicacion-falsa-freeconference","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-atacan-a-solicitantes-de-empleo-con-una-aplicacion-falsa-freeconference\/","title":{"rendered":"Hackers norcoreanos atacan a solicitantes de empleo con una aplicaci\u00f3n falsa, FreeConference"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Hackers-norcoreanos-atacan-a-solicitantes-de-empleo-con-una-aplicacion.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los actores de amenazas norcoreanos han aprovechado una falsa aplicaci\u00f3n de videoconferencia de Windows que se hace pasar por FreeConference.com para crear puertas traseras en los sistemas de los desarrolladores como parte de una campa\u00f1a en curso con fines financieros denominada Contagious Interview.<\/p>\n<p>La nueva ola de ataque, <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/apt-lazarus-python-scripts\/\" target=\"_blank\">manchado<\/a> por la empresa singapurense Group-IB a mediados de agosto de 2024, es otro indicio de que la actividad tambi\u00e9n est\u00e1 aprovechando instaladores nativos para Windows y Apple macOS para distribuir malware.<\/p>\n<p>Contagious Interview, tambi\u00e9n conocida como DEV#POPPER, es una campa\u00f1a maliciosa orquestada por un actor de amenazas norcoreano rastreado por CrowdStrike bajo el nombre de Famous Chollima.<\/p>\n<p>Las cadenas de ataque comienzan con una entrevista de trabajo ficticia, enga\u00f1ando a los solicitantes de empleo para que descarguen y ejecuten un proyecto Node.js que contiene el malware de descarga BeaverTail, que a su vez ofrece una puerta trasera Python multiplataforma conocida como InvisibleFerret, que est\u00e1 equipada con control remoto, registro de teclas y capacidades de robo de navegador.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-b-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/CISA-advierte-sobre-piratas-informaticos-que-explotan-la-funcion-Smart.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunas iteraciones de BeaverTail, que tambi\u00e9n funciona como un ladr\u00f3n de informaci\u00f3n, se han manifestado en forma de malware JavaScript, generalmente distribuido a trav\u00e9s de paquetes npm falsos como parte de una supuesta evaluaci\u00f3n t\u00e9cnica durante el proceso de entrevista.<\/p>\n<p>Pero eso cambi\u00f3 en julio de 2024 cuando el instalador MSI de Windows y los archivos de imagen de disco (DMG) de Apple macOS que se hac\u00edan pasar por el software de videoconferencia leg\u00edtimo MiroTalk fueron descubiertos, actuando como un conducto para implementar una versi\u00f3n actualizada de BeaverTail.<\/p>\n<p>Los \u00faltimos hallazgos de Group-IB, que ha atribuido la campa\u00f1a al infame Grupo Lazarus, sugieren que el actor de la amenaza contin\u00faa apoy\u00e1ndose en este mecanismo de distribuci\u00f3n espec\u00edfico, con la \u00fanica diferencia de que el instalador (&#8220;FCCCall.msi&#8221;) imita a FreeConference.com en lugar de MiroTalk.<\/p>\n<p>Se cree que el instalador falso se descarga de un sitio web llamado freeconference.[.]io, que utiliza el mismo registrador que el ficticio mirotalk[.]sitio web de red.<\/p>\n<p>&#8220;Adem\u00e1s de Linkedin, Lazarus tambi\u00e9n busca activamente v\u00edctimas potenciales en otras plataformas de b\u00fasqueda de empleo como WWR, Moonlight, Upwork y otras&#8221;, dijo la investigadora de seguridad Sharmine Low.<\/p>\n<p>&#8220;Despu\u00e9s de hacer el contacto inicial, a menudo&#8230; <a rel=\"nofollow noopener\" href=\"https:\/\/www.reddit.com\/r\/webdev\/comments\/1ddpmiz\/beware_of_scammers\/\" target=\"_blank\">Intentar mover la conversaci\u00f3n<\/a> en Telegram, donde luego pedir\u00edan a los potenciales entrevistados que descargaran una aplicaci\u00f3n de videoconferencia o un proyecto Node.js para realizar una tarea t\u00e9cnica como parte del proceso de entrevista&#8221;.<\/p>\n<p>En una se\u00f1al de que la campa\u00f1a est\u00e1 siendo refinada activamente, se ha observado que los actores de la amenaza inyectan el c\u00f3digo JavaScript malicioso en repositorios relacionados con criptomonedas y juegos. El c\u00f3digo JavaScript, por su parte, est\u00e1 dise\u00f1ado para recuperar el c\u00f3digo Javascript de BeaverTail del dominio ipcheck[.]nube o regi\u00f3n comprobar[.]neto.<\/p>\n<p>Vale la pena mencionar aqu\u00ed que este comportamiento tambi\u00e9n fue destacado recientemente por la empresa de seguridad de la cadena de suministro de software Phylum en relaci\u00f3n con un paquete npm llamado helmet-validate, lo que sugiere que los actores de la amenaza est\u00e1n haciendo uso simult\u00e1neamente de diferentes vectores de propagaci\u00f3n.<\/p>\n<p>Otro cambio notable es que BeaverTail ahora est\u00e1 configurado para extraer datos de m\u00e1s extensiones de billetera de criptomonedas como Kaikas, Rabby, Argent X y Exodus Web3, adem\u00e1s de implementar funcionalidad para establecer persistencia usando AnyDesk.<\/p>\n<p>Pero eso no es todo. Las funciones de robo de informaci\u00f3n de BeaverTail ahora se realizan a trav\u00e9s de un conjunto de scripts de Python, denominados colectivamente CivetQ, que pueden recolectar cookies, datos del navegador web, pulsaciones de teclas y contenido del portapapeles, y entregar m\u00e1s scripts. Un total de 74 extensiones de navegador est\u00e1n en el punto de mira del malware.<\/p>\n<p>&#8220;El malware puede robar datos de Microsoft Sticky Notes atacando los archivos de base de datos SQLite de la aplicaci\u00f3n ubicados en `%LocalAppData%PackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite`, donde las notas del usuario se almacenan en un formato no cifrado&#8221;, dijo Low.<\/p>\n<p>&#8220;Al consultar y extraer datos de esta base de datos, el malware puede recuperar y filtrar informaci\u00f3n confidencial de la aplicaci\u00f3n Sticky Notes de la v\u00edctima&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La aparici\u00f3n de CivetQ apunta a un enfoque modularizado, aunque tambi\u00e9n subraya que las herramientas est\u00e1n en desarrollo activo y han estado evolucionando constantemente en peque\u00f1os incrementos durante los \u00faltimos meses.<\/p>\n<p>&#8220;Lazarus ha actualizado sus t\u00e1cticas, mejorado sus herramientas y encontrado mejores formas de ocultar sus actividades&#8221;, dijo Low. &#8220;No muestran se\u00f1ales de cejar en sus esfuerzos, y su campa\u00f1a dirigida a los solicitantes de empleo se extiende hasta 2024 y hasta el d\u00eda de hoy. Sus ataques se han vuelto cada vez m\u00e1s creativos y ahora est\u00e1n ampliando su alcance a m\u00e1s plataformas&#8221;.<\/p>\n<p>La revelaci\u00f3n se produce cuando la Oficina Federal de Investigaciones (FBI) de Estados Unidos advirti\u00f3 sobre los ataques agresivos de actores cibern\u00e9ticos norcoreanos a la industria de las criptomonedas utilizando ataques de ingenier\u00eda social &#8220;bien disimulados&#8221; para facilitar el robo de criptomonedas.<\/p>\n<p>&#8220;Los esquemas de ingenier\u00eda social de Corea del Norte son complejos y elaborados, y a menudo comprometen a v\u00edctimas con conocimientos t\u00e9cnicos sofisticados&#8221;, dijo el FBI. <a rel=\"nofollow noopener\" href=\"https:\/\/www.ic3.gov\/Media\/Y2024\/PSA240903\" target=\"_blank\">dicho<\/a> En un aviso publicado el martes, se afirma que los actores de amenazas exploran a las posibles v\u00edctimas revisando su actividad en las redes sociales en redes profesionales o plataformas relacionadas con el empleo.<\/p>\n<p>&#8220;Los equipos de actores cibern\u00e9ticos maliciosos de Corea del Norte identifican empresas espec\u00edficas relacionadas con DeFi o criptomonedas para atacar e intentan utilizar ingenier\u00eda social contra docenas de empleados de estas empresas para obtener acceso no autorizado a la red de la empresa&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/north-korean-hackers-targets-job.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas norcoreanos han aprovechado una falsa aplicaci\u00f3n de videoconferencia de Windows que se hace pasar<\/p>\n","protected":false},"author":1,"featured_media":1346869,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,450,6350,4661,4664,99,3341,8197,251644,6369,4667,239182,35239,4654,239508,4658,4659,4653,246983,4665,246984,19396,158,246982,239484],"class_list":["post-1346868","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aplicacion","tag-atacan","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-empleo","tag-falsa","tag-freeconference","tag-hackers","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-solicitantes","tag-una","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1346868","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1346868"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1346868\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1346869"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1346868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1346868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1346868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}