Mensajes falsificados de LinkedIn. Esa es la herramienta que utilizan los nuevos ciberdelincuentes, según alerta el laboratorio de ESET, en una campaña con la que tratan de conseguir beneficios financieros e información confidencial.
Los ataques han sido denominados por ESET como ‘Operación In(ter)ception’ debido a la muestra de malware relacionada de nombre “Inception.dll” y comenzaban con un mensaje de LinkedIn, generalmente en el que se ofrecía un oportunidad de trabajo.
Estos mensajes llegaban a las víctimas bien directamente a través de LinkedIn o mediante un correo electrónico que contenía un enlace a OneDrive. En el caso de los mensajes de correo electrónico, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn.
“El mensaje consistía en una oferta de trabajo bastante creíble, procedente de una compañía relevante del sector. El perfil de LinkedIn era falso y los mensajes adjuntos enviados durante la conversación contenían archivos maliciosos”, ha explicado Dominik Breitenbacher, responsable de la investigación en ESET.
Una vez que la víctima abría el archivo, un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, el malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como persistencia en el sistema.
A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto, explican desde ESET.
“Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”, comenta Breitenbacher. “Sin embargo, ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”.
Además de las técnicas de espionaje, los investigadores de ESET han encontrado pruebas de que los delincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas. Entre los mails de las víctimas se han encontrado comunicaciones sobre facturas impagadas entre el afectado y sus clientes en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes.
Afortunadamente, en los casos investigados el cliente sospechó del mensaje y contactó con la víctima para confirmar la veracidad del correo, frustrando el intento de los atacantes de conseguir comprometer también a los clientes de la víctima.
El acuerdo entre HCLTech y CrowdStrike amplía a nuevos mercados el alcance de la plataforma…
La industria manufacturera prevé incrementos de hasta el 52 % en términos de productividad gracias…
Refuerza así su presencia de Kirey Group en el mercado español, donde ya se había…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Deloitte creará Centros de Excelencia de AWS en distintas partes del mundo, incluyendo el África…
Introduce mejoras en Cortex XSIAM y ofrece capacidades de detección y respuesta de forma nativa…
