Hackers norcoreanos utilizan entrevistas de trabajo falsas para infectar a desarrolladores con malware multiplataforma

Los actores de amenazas norcoreanos han encontrado una forma astuta de atacar a los desarrolladores de software: entrevistas de trabajo falsas. Este método insidioso está diseñado para atraer a los solicitantes de empleo desprevenidos en la industria tecnológica para que descarguen malware que compromete tanto su seguridad como sus sistemas. Los investigadores de seguridad han observado esta campaña, identificada como CL-STA-0240 y conocida como "Contagious Interview", en la que los piratas informáticos se hacen pasar por empleadores potenciales en plataformas de empleo.

Esta operación ha salido a la luz a través de un informe de Unit 42 de Palo Alto Networks. Fue divulgada por primera vez en noviembre de 2023, revelando que los ciberdelincuentes están utilizando versiones actualizadas de dos familias de malware: BeaverTail e InvisibleFerret.

Cómo se desarrolla el ataque

El primer punto de contacto se produce en las plataformas de búsqueda de empleo, donde los piratas informáticos norcoreanos, haciéndose pasar por reclutadores, contactan con los desarrolladores de software. Organizan entrevistas de trabajo en línea y se ganan la confianza de sus víctimas imitando procesos de contratación legítimos. Durante estas supuestas entrevistas, los piratas informáticos convencen a los desarrolladores de que descarguen lo que ellos afirman que es un trabajo de codificación u otro material relacionado con el trabajo. Sin que la víctima lo sepa, estas descargas contienen software malicioso.

El proceso de infección comienza con el descargador BeaverTail, un malware que roba información y que ataca tanto a sistemas Windows como macOS. BeaverTail actúa como puente para una segunda etapa de malware más peligrosa: la puerta trasera InvisibleFerret, que se basa en el lenguaje de programación Python. A pesar de que el público conoce esta operación, informes recientes sugieren que los piratas informáticos detrás de esta campaña siguen teniendo éxito engañando a los desarrolladores para que ejecuten código malicioso sin saberlo.

El malware multiplataforma es una pesadilla para los desarrolladores

Un análisis más profundo realizado por expertos en ciberseguridad como Patrick Wardle y Group-IB muestra el alcance de esta amenaza. Estos atacantes utilizan aplicaciones de videoconferencia falsas (como suplantaciones de MiroTalk y FreeConference.com) para infiltrarse en los sistemas. Estas aplicaciones falsas se desarrollan utilizando Qt, un marco popular que permite la compilación cruzada en diferentes plataformas, incluidas Windows y macOS.

La versión de BeaverTail basada en Qt no se limita a una sola función. Tiene la capacidad de robar contraseñas de navegadores, así como datos de billeteras de criptomonedas, lo que la hace particularmente peligrosa. Filtra datos a un servidor controlado por piratas informáticos, lo que les da a los cibercriminales acceso a información personal y financiera confidencial.

Una vez que BeaverTail ha hecho su parte, instala InvisibleFerret, que es capaz de realizar actividades mucho más destructivas. Este malware incluye dos componentes críticos:

  1. Una carga útil principal diseñada para control remoto, registro de teclas, toma de huellas digitales del sistema infectado e incluso descarga de herramientas de escritorio remoto.
  2. Un ladrón de navegadores que extrae las credenciales del navegador, incluidos nombres de usuario, contraseñas e incluso información de tarjetas de crédito almacenadas.

La motivación financiera detrás de los ataques

Los actores de amenazas norcoreanos llevan mucho tiempo asociados a delitos cibernéticos con motivaciones económicas, y a menudo utilizan estas ganancias ilícitas para apoyar al régimen. Unit 42 sugiere que esta campaña en particular también puede tener una fuerte motivación económica, especialmente si se tiene en cuenta la capacidad del malware para robar de 13 billeteras de criptomonedas diferentes.

Al utilizar herramientas que permiten obtener activos valiosos, como criptomonedas, credenciales de navegador e incluso acceso remoto, los piratas informáticos podrían potencialmente obtener grandes sumas de dinero. Los ciberataques con motivaciones económicas, como este, son una piedra angular de la estrategia de Corea del Norte para evadir las sanciones internacionales y financiar sus operaciones gubernamentales.

Cómo protegerse como desarrollador

El aumento de los ciberataques a través de entrevistas de trabajo falsas indica un cambio preocupante en la forma en que los piratas informáticos atacan a los desarrolladores y a la comunidad tecnológica en general. A continuación, se indican algunos pasos para mantenerse a salvo:

  • Verifica a los reclutadores : siempre verifica la identidad de los reclutadores o empleadores que se pongan en contacto contigo. Una simple búsqueda en LinkedIn o una visita al sitio web oficial de la empresa pueden ayudarte a confirmar si la oferta es genuina.
  • Tenga cuidado con las descargas : nunca descargue archivos de una fuente que no sea confiable, especialmente si provienen de una plataforma o de un individuo que no haya verificado.
  • Utilice medidas de seguridad sólidas : mantenga actualizado su software antivirus y de detección de malware. Considere utilizar herramientas de comunicación cifrada y de sandboxing cuando interactúe con entidades desconocidas en línea.
  • Controle las billeteras de criptomonedas : si está involucrado en el mundo de las criptomonedas, esté especialmente alerta. Use billeteras con funciones de seguridad sólidas y controle las transacciones de cerca para detectar cualquier actividad sospechosa.

Conclusión

El uso de entrevistas de trabajo falsas por parte de piratas informáticos norcoreanos para difundir malware es un escalofriante recordatorio de lo creativos y peligrosos que pueden ser los cibercriminales. Con ataques dirigidos tanto a plataformas Windows como macOS, nadie está realmente a salvo de estas amenazas. Los desarrolladores, en particular, deberían estar en alerta máxima, ya que los piratas informáticos siguen explotando el proceso de búsqueda de empleo para robar datos confidenciales y activos financieros. Mantenerse informado, alerta y preparado es clave para protegerse en esta nueva era de la ciberdelincuencia.

En Zane
October 9, 2024
Computer Security
Spanish
October 9, 2024
Computer Security

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.