Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Programa malicioso CovertCATCH

Programa malicioso CovertCATCH

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT), Malware para Mac
Traducir a:
Español

Se ha descubierto que los actores de amenazas norcoreanos explotan LinkedIn para atacar a los desarrolladores a través de esquemas de contratación de empleo falsos. Una táctica clave consiste en utilizar pruebas de codificación como método de infección inicial. Después de interactuar con el objetivo en un chat, el atacante envía un archivo ZIP disfrazado de un desafío de codificación de Python, que en realidad contiene el malware COVERTCATCH. Una vez ejecutado, este malware inicia un ataque al sistema macOS del objetivo, descargando una carga útil de segunda etapa para establecer la persistencia mediante agentes de lanzamiento y demonios de lanzamiento.

Corea del Norte sigue siendo un actor importante en materia de ciberdelincuencia

Sin embargo, este es sólo un ejemplo entre varios grupos de actividades (como Operation Dream Job y Contagious Interview) llevadas a cabo por grupos de piratas informáticos norcoreanos que utilizan señuelos relacionados con el trabajo para difundir malware.

Las tácticas con temática de reclutamiento también se han utilizado comúnmente para implementar familias de malware como RustBucket y KANDYKORN . En este momento, no está claro si COVERTCATCH está relacionado con estos o con el recién descubierto TodoSwift .

Los investigadores han identificado una campaña de ingeniería social en la que un PDF corrupto se disfrazó como una descripción del puesto de trabajo de un "vicepresidente de finanzas y operaciones" en una importante plataforma de intercambio de criptomonedas. Este PDF contenía un malware de segunda etapa llamado RustBucket, una puerta trasera basada en Rust que permite la ejecución de archivos.

El implante RustBucket puede recopilar información básica del sistema, comunicarse con una URL específica y establecer persistencia a través de un agente de lanzamiento que se hace pasar por una "actualización de Safari", lo que le permite contactar un dominio de comando y control (C2) codificado.

Los grupos de piratas informáticos norcoreanos siguen evolucionando

El enfoque de Corea del Norte en las organizaciones Web3 se extiende más allá de la ingeniería social e incluye ataques a la cadena de suministro de software, como lo demuestran los incidentes recientes que involucraron a 3CX y JumpCloud. Una vez que los atacantes establecen el acceso a través de malware, recurren a los administradores de contraseñas para recopilar credenciales, realizar un reconocimiento interno a través de repositorios de código y documentación, e infiltrarse en entornos de alojamiento en la nube para descubrir claves de billeteras activas y, en última instancia, drenar los fondos.

Esta revelación llega junto con una advertencia emitida por la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre actores de amenazas norcoreanos que apuntan a la industria de las criptomonedas con campañas de ingeniería social altamente especializadas y difíciles de detectar.

Estos intentos continuos a menudo implican hacerse pasar por empresas de contratación o personas conocidas, ofreciendo oportunidades de empleo o inversión. Estas tácticas sirven como puerta de entrada para audaces robos de criptomonedas destinados a generar ingresos ilícitos para Corea del Norte, que sigue sujeta a sanciones internacionales.

Los actores de amenazas utilizan tácticas personalizadas para infectar a sus objetivos

Las tácticas clave utilizadas por estos actores incluyen:

  • Dirigido a empresas relacionadas con criptomonedas.
  • Realizar una investigación preoperatoria exhaustiva sobre sus víctimas antes de establecer contacto.
  • Creación de escenarios falsos altamente personalizados para aumentar la probabilidad de éxito.

Pueden hacer referencia a datos personales, como intereses, afiliaciones, eventos, relaciones o conexiones profesionales que la víctima podría pensar que solo conocen unos pocos. Este enfoque está diseñado para generar confianza y, en última instancia, distribuir malware.

Si logran establecer comunicación, el actor inicial u otro miembro del equipo pueden invertir un tiempo significativo interactuando con la víctima para mejorar la apariencia de legitimidad y fomentar un sentido de familiaridad y confianza.

Tendencias

Estafas por correo electrónico de premios en...

Suplantación de identidad (phishing), Correo basura
La comodidad de la comunicación en línea conlleva riesgos importantes. Los cibercriminales están constantemente ideando sofisticados esquemas para engañar a los usuarios desprevenidos, por lo que es esencial que todos permanezcan alerta mientras navegan por el mundo en línea. Una de esas tácticas que circula actualmente es la estafa del correo electrónico Samsung Prize Money, un intento de...

Mas Visto

Cargando...