www.zonamovilidad.es
Los ciberdelincuentes se apoyan en falsas ofertas y mensajes falsos a través de LinkedIn en una nueva campaña
Ampliar

Los ciberdelincuentes se apoyan en falsas ofertas y mensajes falsos a través de LinkedIn en una nueva campaña

Por Alfonso de Castañeda
x
alfondcctelycom4com/8/8/17
miércoles 17 de junio de 2020, 11:30h

Escucha la noticia

La firma de ciberseguridad europea ESET ha advertido de una nueva campaña de ciberataques altamente dirigidos que emplean mensajes falsificados de LinkedIn y técnicas de ocultación para evitar ser desenmascarados con el objetivo de conseguir beneficios financieros e información confidencial.

Estos ataques, denominados por el laboratorio de ESET como ‘Operación Int(ter)ception’ por la muestra de malware relacionada de nombre ‘Inception.dll’, se llevaron a cabo entre septiembre y diciembre del año pasado. Esta campaña de ciberataques se centraba, principalmente, en profesionales de los sectores aeroespacial y militar.

"Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”

En cuanto a la autoría de estos ataques, la compañía apunta directamente al grupo de ciberdelincuentes Lazarus. En un encuentro exclusivo con la prensa al que ha asistido Zonamovilidad.es, Dominik Breitenbacher, responsable de la investigación en ESET, ha explicado que “los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”. Sin embargo, “ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”.

En este sentido, los investigadores de ESET han encontrado pruebas de que los ciberdelincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas.

Entre los correos de las víctimas, ESTE ha encontrado comunicaciones sobre facturas impagadas entre el afectado y sus clientes en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes. En este caso en concreto, la compañía europea confirma que el cliente sospechó del mensaje y contactó con la víctima para confirmar la veracidad del correo, frustrando el intento de los atacantes de conseguir comprometer a los clientes de la víctima.

“Este intento de monetizar el acceso a la red de la víctima debe servir como ejemplo a la hora de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar adecuadamente a los empleados de cualquier organización en ciberseguridad”, ha advertido Breitenbacher. “Una concienciación básica en ciberseguridad ayuda a los trabajadores a conocer y a reconocer las tácticas usadas por los ciberdelincuentes por minoritarias que sean”, ha apuntado el investigador.

Cómo son los ataques de la ‘Operación Int(ter)ception’

El ataque comienza con un mensaje a través de LinkedIn. Este mensaje consiste en una oferta de trabajo creíble procedente de una campaña relevante del sector. Sin embargo, el perfil de LinkedIn es falso y los mensajes adjuntos enviados durante la conversación contienen archivos maliciosos.

Estos mensajes se enviaban directamente a través de un mensaje de LinkedIn o de correo electrónico con un enlace a OneDrive. Para mayor complejidad, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn.

De este modo, los ciberdelincuentes buscaban forzar a la víctima para que pinche en el enlace, argumentando que era una oferta única y una vez se abría el archivo que contenía un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, los delincuentes cibernéticos conseguían entrar en el sistema.

Desde ese punto, los atacantes utilizaban un malware personalizado multietapa que en muchas ocasiones se disfrazaba de software legítimo y versiones modificadas de herramientas de código abierto.

Asimismo, aprovechaban una técnica conocida como ‘living off the land’, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios