Se ha observado que actores de amenazas afiliados a Corea del Norte utilizan LinkedIn como una forma de apuntar a desarrolladores como parte de una operaci\u00f3n falsa de reclutamiento laboral.<\/p>\n
Estos ataques emplean pruebas de codificaci\u00f3n como un vector de infecci\u00f3n inicial com\u00fan, dijo Mandiant, propiedad de Google, en un nuevo informe sobre las amenazas que enfrenta el sector Web3.<\/p>\n
“Despu\u00e9s de una conversaci\u00f3n de chat inicial, el atacante envi\u00f3 un archivo ZIP que conten\u00eda el malware COVERTCATCH disfrazado de un desaf\u00edo de codificaci\u00f3n Python”, dijeron los investigadores Robert Wallace, Blas Kojusner y Joseph Dobson.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Los-actores-de-amenazas-norcoreanos-implementan-el-malware-COVERTCATCH-a.jpg\")
<\/a><\/center><\/div>\nEl malware funciona como una plataforma de lanzamiento para comprometer el sistema macOS del objetivo mediante la descarga de una carga \u00fatil de segunda etapa que establece persistencia a trav\u00e9s de agentes de lanzamiento y demonios de lanzamiento.<\/p>\n
Vale la pena se\u00f1alar que este es uno de los muchos grupos de actividades (a saber, Operation Dream Job, Contagious Interview y otros) llevados a cabo por grupos de piratas inform\u00e1ticos norcoreanos que utilizan se\u00f1uelos relacionados con el trabajo para infectar objetivos con malware.<\/p>\n
Los se\u00f1uelos con tem\u00e1tica de reclutamiento tambi\u00e9n han sido una t\u00e1ctica frecuente para distribuir familias de malware como RustBucket y KANDYKORN.<\/p>\n
Mandiant dijo que observ\u00f3 una campa\u00f1a de ingenier\u00eda social que entreg\u00f3 un PDF malicioso disfrazado de descripci\u00f3n de trabajo para un “Vicepresidente de Finanzas y Operaciones” en un importante intercambio de criptomonedas.<\/p>\n
“El PDF malicioso introdujo un malware de segunda etapa conocido como RustBucket, que es una puerta trasera escrita en Rust que admite la ejecuci\u00f3n de archivos”.<\/p>\n
El implante RustBucket est\u00e1 equipado para recopilar informaci\u00f3n b\u00e1sica del sistema, comunicarse con una URL proporcionada a trav\u00e9s de la l\u00ednea de comandos y configurar la persistencia utilizando un agente de lanzamiento que se disfraza como una “actualizaci\u00f3n de Safari” para contactar un dominio de comando y control (C2) codificado.<\/p>\n
Los ataques de Corea del Norte a organizaciones Web3 tambi\u00e9n van m\u00e1s all\u00e1 de la ingenier\u00eda social y abarcan ataques a la cadena de suministro de software, como se observ\u00f3 en los incidentes dirigidos a 3CX y JumpCloud en los \u00faltimos a\u00f1os.<\/p>\n
“Una vez que se establece un punto de apoyo a trav\u00e9s del malware, los atacantes recurren a los administradores de contrase\u00f1as para robar credenciales, realizar reconocimiento interno a trav\u00e9s de repositorios de c\u00f3digo y documentaci\u00f3n, y recurrir al entorno de alojamiento en la nube para revelar claves de billetera activa y, finalmente, drenar los fondos”, dijo Mandiant.<\/p>\n
La revelaci\u00f3n se produce en medio de una advertencia de la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre los ataques de actores de amenazas norcoreanos a la industria de las criptomonedas utilizando “campa\u00f1as de ingenier\u00eda social altamente personalizadas y dif\u00edciles de detectar”.<\/p>\n
Estos esfuerzos continuos, que se hacen pasar por empresas de reclutamiento o individuos que la v\u00edctima puede conocer personalmente o indirectamente con ofertas de empleo o inversi\u00f3n, son vistos como un conducto para descarados robos de criptomonedas que est\u00e1n dise\u00f1ados para generar ingresos il\u00edcitos para el reino hermita\u00f1o, que ha sido objeto de sanciones internacionales.<\/p>\n Entre las t\u00e1cticas empleadas se incluyen la identificaci\u00f3n de empresas de inter\u00e9s relacionadas con criptomonedas, la realizaci\u00f3n de una extensa investigaci\u00f3n preoperacional sobre sus objetivos antes de iniciar el contacto y la elaboraci\u00f3n de escenarios falsos personalizados en un intento de atraer a posibles v\u00edctimas y aumentar la probabilidad de \u00e9xito de sus ataques.<\/p>\n “Los actores pueden hacer referencia a informaci\u00f3n personal, intereses, afiliaciones, eventos, relaciones personales, conexiones profesionales o detalles que una v\u00edctima puede creer que son conocidos por pocas personas”, dijo el FBI, destacando los intentos de construir una relaci\u00f3n y eventualmente entregar malware.<\/p>\n “Si se logra establecer contacto bidireccional, el actor inicial u otro miembro del equipo del actor puede pasar un tiempo considerable interactuando con la v\u00edctima para aumentar la sensaci\u00f3n de legitimidad y generar familiaridad y confianza”.<\/p>\n <\/p>\n<\/a><\/center><\/section>\n