Saltar al contenido

Alerta de estafa: usuarios de LinkedIn afectados por software malicioso de ofertas de trabajo falsas

abril 8, 2021

El ataque de phishing común de variedad de jardín utiliza una técnica que algunos expertos denominan rociar y rezar. Los estafadores crean un clon de algún sitio sensible, como un sitio web de banca en línea, y tratan de engañar a las personas para que inicien sesión. No importa si 999 personas son lo suficientemente inteligentes como para detectar y evitar el fraude. Ese uno de cada mil que está distraído o es lo suficientemente tonto como para iniciar sesión es oro puro para los estafadores. Con las credenciales de inicio de sesión capturadas, tienen poder total sobre la cuenta comprometida. El reciente ataque de phishing de LinkedIn no se parecía en nada a esto.

Antes de sus intentos de transformarse en un sitio de redes sociales completo, LinkedIn se centró casi por completo en hacer conexiones y encontrar trabajo. Ese contacto de gran importancia que no respondería a sus correos electrónicos podría responder mejor después de una presentación personal de un amigo en común. Y poner su currículum y experiencia en LinkedIn significa que las personas pueden encontrarlo para hacer conexiones o incluso ofertas de trabajo. Esa es la expectativa a la que se han dirigido los ataques recientes.

Odio decirlo, pero las personas que buscan trabajo son un grupo objetivo perfecto. Con la agitación de la pandemia, más personas que nunca están buscando trabajo. Algunos están desesperados. Una oferta de trabajo, incluso de una fuente desconocida, puede parecer un regalo del cielo. Y una aparente conexión con LinkedIn hace que la oferta sea aún más tentadora.


Spear Phishing Amenaza

Investigadores de la Unidad de Respuesta a Amenazas (TRU) del proveedor de seguridad eSentire dieron la noticia de que un grupo de piratas informáticos está apuntando a profesionales con ofertas de trabajo falsas a través de LinkedIn. Los correos electrónicos se basan en el perfil de cada víctima para crear una oferta personalizada y convincente. Mi perfil dice que soy un analista líder en PCMag. Si hubiera sido un objetivo, el correo electrónico habría incluido un archivo adjunto llamado «Analista principal: puesto».

Este tipo de ataque dirigido se llama spear phishing y es mucho más difícil de detectar que el rociar y rezar técnica descrita anteriormente. Este último podría impulsar un enlace bancario de Wells Fargo a una enorme horda de consumidores, la mayoría de los cuales ni siquiera tienen una cuenta de Wells Fargo. Un ataque de spear phishing está dirigido a usted y contiene información personal, diferente para cada objetivo.


Ataque de malware sofisticado

¿Qué pasa si caes en la estafa? Abrir la oferta de trabajo desencadena una serie de eventos que terminan instalando un proceso de malware de puerta trasera llamado more_eggs. No hay ningún archivo malicioso para que lo detecte un antivirus. Toda la acción se lleva a cabo subvirtiendo los procesos normales de Windows y ejecutando scripts en la memoria. Para aquellos en la industria, la publicación del blog eSentire vinculada anteriormente detalla exactamente qué procesos están involucrados y cómo se viola su seguridad.

Una vez que se ha instalado en el sistema de la víctima, el proceso more_eggs se registra periódicamente en su sitio web de Comando y Control, esperando órdenes. Esas órdenes provienen de un grupo de piratas informáticos que se autodenomina Golden Chickens. (¡No se puede inventar esto!) Se desconoce qué habría hecho, ya que el equipo de eSentire TRU interrumpió el sistema de ataque al descubrirlo. Según el blog ThreatPost, los ataques more_eggs anteriores se han utilizado para «violar los sistemas de pagos en línea de las empresas minoristas, de entretenimiento y farmacéuticas». El grupo Golden Chickens planeó alquilar las PC de las víctimas en una especie de esquema de malware como servicio, por lo que podría haber sido utilizado para casi cualquier propósito nefasto.


Defensa sofisticada contra malware

Dado que more_eggs no tiene presencia en el sistema de archivos, ¿es posible que una utilidad antivirus se defienda de él? Le pedí a los contactos de varias de las principales empresas de seguridad una toma rápida. Sus respuestas fueron tranquilizadoras.

«Las ofertas de trabajo falsas que apuntan a enlaces falsos o adjuntos maliciosos no son nada nuevo en LinkedIn», dijo Philippe Broccard, gerente de productos senior de Vipre Security. «El aumento de perfiles falsos de LinkedIn ha hecho que esta plataforma sea extremadamente insegura».

Señaló que si bien el malware more_eggs en sí mismo no tiene archivos, utiliza un archivo ZIP trucado para ingresar al sistema, afirmando que «esperaría que Vipre lo detectara» en ese momento. Broccard señaló que el ataque representa «un riesgo grave para cualquier organización financiera» y sugirió que cualquier organización de este tipo podría beneficiarse de la capacitación en concientización sobre seguridad.

“Según la información que estoy viendo, el vector de infección es un archivo adjunto ZIP de correo electrónico que contiene un archivo LNK que desencadena el ataque sin archivos”, dijo Pedro Bustamante, vicepresidente de investigación e innovación de Malwarebytes. «Esto se detendría con nuestra tecnología anti-exploit sin firma, como parte de su componente de ‘control y refuerzo de aplicaciones’, que evitaría que los clientes de correo electrónico generen el comando sin archivos».

Recomendado por nuestros editores

Maqueta de Malwarebytes que bloquea el ataque de correo electrónicoBustamante brindó amablemente una maqueta de cómo se vería tal evento de bloqueo.

Según Denis Parinov, un experto en seguridad de Kaspersky, “El software malicioso descrito se conoce desde hace mucho tiempo, y varios actores de amenazas han utilizado la puerta trasera denominada more_eggs en diferentes momentos. Al mismo tiempo, periódicamente se han detectado ataques a usuarios de LinkedIn que involucran un esquema similar y el malware de esta familia, al menos desde 2018, con cambios menores. Nuestros productos detectan todos los componentes utilizados en tales ataques «.

Estoy seguro de que estos productos no son los únicos en su capacidad para defenderse de more_eggs. Si ha instalado un antivirus o un paquete de seguridad de primer nivel, debería estar a salvo de este conocido ataque. Pero no se vuelva complaciente; la próxima ronda de correos electrónicos de spear phishing podría inyectar malware de día cero que (al menos temporalmente) elude incluso a los mejores productos de seguridad.


No se deje engañar por el spear phishing

Es muy Es difícil saber si un correo electrónico dado es una oferta de trabajo legítima o una falsificación de spear-phishing. No es como el ataque de phishing no dirigido más común, que ofrece muchas pistas. Si tiene el menor indicio de que una oferta de trabajo puede ser un fraude de phishing, puede consultar con el Centro de seguridad de LinkedIn. Si no está seguro, reenvíe el mensaje a [email protected] o utilice el formulario de informe de posible estafa. Es mejor informar una oferta de trabajo válida con exceso de precaución que dejarse engañar por una falsa y maliciosa.

(Nota del editor: Vipre es propiedad de J2 Global, la empresa matriz del editor de PCMag, Ziff Davis).