Los investigadores han descubierto una campaña de phishing de malware personalizada en la que los ciberdelincuentes se hacen pasar por reclutadores en la plataforma de empleo LinkedIn para ejecutar código malicioso.
Según la firma de ciberseguridad Mandiant, los atacantes utilizaron la ingeniería social para convencer a las víctimas de interactuar a través de WhatsApp, a través del cual distribuyeron el backdoor PlankWalk, escrito en C, disfrazado de oferta de trabajo.
Mandiant comenzó a investigar la campaña en junio de 2022 cuando se dio cuenta de que estaba dirigida a una empresa de tecnología estadounidense y contenía tres variantes de malware desconocidas llamadas TOUCHMOVE, SIDESHOW y TOUCHSHHIFT.
El llamado grupo de espionaje de Corea del Norte, conocido como UNC2970 y vinculado al conocido grupo UNC577, apuntaría a los usuarios en los EE. UU. y Europa directamente a través de LinkedIn utilizando cuentas falsas que se hacen pasar por reclutadores.
«Estas cuentas están bien diseñadas y seleccionadas profesionalmente para imitar las identidades de los usuarios legítimos a fin de establecer una relación y aumentar la probabilidad de conversación e interacción»
explica Mandiant en su informe.
De esta forma, los ciberdelincuentes invitan a sus víctimas a iniciar una conversación a través de WhatsApp y utilizan PlanWalk para difundir su carga maliciosa tras enviarles una oferta de trabajo potencialmente legítima.
El virus está diseñado para permitir que los usuarios maliciosos controlen remotamente las computadoras infectadas.
Además de describir los términos de la supuesta oferta de trabajo, las ofertas de trabajo también contenían «malware» incorporado.
La documentación también se incluye en una carpeta ZIP que también contiene una versión personalizada de TightVNC.
Gracias a esta aplicación informática instalada en la memoria del dispositivo, a la que Mandiant denomina LidShift, los ciberdelincuentes pueden controlar de forma remota las pantallas de estos ordenadores.
FUENTE: