Los profesionales de las industrias aeroespacial y de defensa deben tener cuidado Los investigadores de McAfee han descubierto una ola de ofertas de trabajo falsas que contienen documentos maliciosos en la naturaleza.
Imagen: iStockphoto / Sompong Lekhawattana
Una ola de falsos correos electrónicos de ofertas de trabajo de las principales compañías aeroespaciales y de defensa es en realidad una campaña de cibercrimen diseñada para recolectar información sobre profesionales en industrias sensibles. Descubierta por McAfee Sophisticated Menace Analysis (ATR), la campaña parece haber comenzado en abril de 2020 y se detectó hasta mediados de junio, y hay indicios reveladores de que la campaña está siendo orquestada por conocidos grupos de piratería de Corea del Norte.
Según las similitudes, el ATR encontrado en el código de Visible Primary utilizado para ejecutar el ataque y las funciones básicas familiares, «los indicadores de la campaña 2020 apuntan a la actividad anterior de 2017 y 2019 que anteriormente se atribuía al grupo de actores de amenazas conocido como Concealed Cobra, «el informe declaró.
Hidden Cobra es un término standard del gobierno de los EE. UU. Para los grupos de amenaza norcoreanos Lazarus, Kimsuky, KONNI y APT37, y al igual que las campañas en 2017 y 2019, este tiene el objetivo aparente de «reunir inteligencia sobre tecnologías militares y de defensa clave», ATR dijo.
VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)
La foundation de la campaña es very simple: utilice las ofertas de trabajo legítimas de los principales contratistas de defensa, conviértalas en ofertas de trabajo falsas y envíelas por correo electrónico directamente a profesionales aeroespaciales y de defensa que puedan estar interesados en ese tipo de puesto. La oferta contiene un documento malicioso de Microsoft Term que, una vez abierto, instala un software package de recolección de datos que le dará al atacante acceso a información confidencial de identificación individual sobre la víctima.
Al igual que otros ataques de este tipo, no hay nada nuevo aquí: es una campaña familiar de spearphishing que se basa en una víctima para abrir el documento malicioso y permitirle descargar y ejecutar macros ocultas en una plantilla que se obtiene del comando del atacante y servidor de handle
Una vez que se ejecuta la carga útil, el ataque ejecuta macros que instalan archivos DLL maliciosos que, según ATR, están diseñados «para recopilar información de la máquina de víctimas infectadas que podrían usarse para identificar más objetivos más interesantes». Los archivos DLL utilizados en el ataque son versiones modificadas de archivos DLL de software legítimos, lo que facilita que el archivo malicioso pase desapercibido.
Una vez instalada, la DLL utiliza técnicas de evasión activa al imitar cadenas de Person-Agent de otras aplicaciones para que Windows asuma que es parte de una aplicación legítima. También agrega un archivo LNK a la carpeta de inicio de Home windows para garantizar la persistencia.
Evitando la amenaza
McAfee señala en su informe que la campaña parece estar ampliando sus objetivos, con ejemplos de ofertas de trabajo falsas en las principales compañías de animación e informes falsos sobre las relaciones diplomáticas entre los Estados Unidos y Corea dirigidas a los surcoreanos.
Aquí se aplican métodos de mitigación comunes, como no abrir archivos adjuntos de fuentes potencialmente sospechosas, verificar la fuente de un correo electrónico y no otorgar permisos para que los scripts o macros se ejecuten desde los archivos descargados.
VER: Política de mejores prácticas del certificado SSL (TechRepublic Premium)
McAfee ATR también recomienda las siguientes estrategias para organizaciones cuyos miembros podrían ser seleccionados:
- Tenga un programa de inteligencia de amenazas que lo mantenga actualizado sobre las amenazas a su industria o rol en distinct.
- Capacite a los usuarios para que detecten mensajes potencialmente maliciosos: «Los usuarios bien entrenados y preparados, informados con la última inteligencia de amenazas sobre la actividad del adversario, son la primera línea de defensa», dijo el informe.
- Asegúrese de que la seguridad de su dispositivo de usuario final sea adaptable, actualizada y capaz de detectar malware sin archivos.
- Utilice un proxy internet seguro para filtrar sitios website maliciosos conocidos y dominios de comando y command. Manténgalo actualizado con la última inteligencia de amenazas conocida.
