Últimas 15minutos

Descubren mensaje de LinkedIn para robar información y dinero

Los ataques fueron denominados por ESET como Operación In(ter)ception debido a la muestra de malware relacionada de nombre Inception.dll

El ataque comenzaba con un mensaje de LinkedIn, una oferta de trabajo "bastante creíble (Gerd Altmann/Pixabay)

15 minutos. Una campaña de malware personalizado vinculada al Grupo Lazarus, que utilizaba una oferta de trabajo falsa en la plataforma profesional LinkedIn, dirigió sus ataques a instituciones militares y organizaciones aeroespaciales para acceder a información confidencial y dinero de sus víctimas.

El laboratorio de ESET compartió el descubrimiento de una campaña de ciberataques "altamente dirigidos" contra instituciones militares y compañías aeroespaciales. Estos utilizaban mensajes falsificados de LinkedIn y técnicas de ocultación para evitar ser desenmascarados con el objetivo de conseguir beneficios financieros e información confidencial.

Operación In(ter)ception

Los ataques, fueron denominados por ESET como Operación In(ter)ception debido a la muestra de malware relacionada de nombre Inception.dll. Se llevaron a cabo entre septiembre y diciembre del año pasado, según un comunicado.

El ataque comenzaba con un mensaje de LinkedIn, una oferta de trabajo "bastante creíble, procedente de una compañía relevante del sector", como explica el responsable de la investigación en ESET, Dominik Breitenbacher. Sin embargo, se trataba de un perfil de LinkedIn falso y los mensajes adjuntos enviados durante la conversación contenían archivos maliciosos.

Los mensajes se enviaban directamente a través de un mensaje de LinkedIn o de correo electrónico que contenía un enlace a OneDrive. En el caso de los mensajes de correo electrónico, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn.

Una vez que la víctima abría el archivo, un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, el 'malware' se desplegaba de forma oculta en el dispositivo. A partir de allí los ciberdelincuentes conseguían entrar, así como persistencia en el sistema.

Los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto. Además, se aprovechaban de una táctica conocida como living off the land, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas.

Pistas apuntan a Lazarus

Los ataques observados "muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus". Sin embargo, la compañía no ha descubierto todavía qué archivos estaban buscando los delincuentes.

Además, los investigadores de ESET encontraron pruebas de que los delincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas.

Entre los mails de las víctimas se encontraron comunicaciones sobre facturas impagadas entre el afectado y sus clientes. En estasa se urgía al pago a una cuenta propiedad de los ciberdelincuentes.

"Este intento de monetizar el acceso a la red de la víctima debe servir como ejemplo a la hora de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar adecuadamente a los empleados de cualquier organización en ciberseguridad. Una concienciación básica en ciberseguridad ayuda a los trabajadores a conocer y a reconocer las tácticas usadas por los ciberdelincuentes por minoritarias que sean", concluye Breitenbacher.

Ver más