El grupo Lazarus emplea la táctica ClickFix para atacar a personas en busca de empleo, con el objetivo de instalar el malware GolangGhost.

Los actores de amenazas norcoreanos detrás de Contagious Interview han adoptado la táctica de ingeniería social ClickFix, cada vez más utilizada, para atraer a solicitantes de empleo en el sector de las criptomonedas, con el fin de instalar una puerta trasera basada en Go, previamente no documentada, llamada GolangGhost en sistemas Windows y macOS.

Esta nueva actividad, considerada una continuación de la campaña, ha sido bautizada como ClickFake Interview por la empresa de ciberseguridad francesa Sekoia. Se sabe que Contagious Interview, también conocida como DeceptiveDevelopment, DEV#POPPER y Famous Chollima, está activa desde al menos diciembre de 2022, aunque su documentación pública no ocurrió hasta finales de 2023.

“Utiliza sitios web legítimos de entrevistas de trabajo para aprovechar la táctica ClickFix e instalar puertas traseras en Windows y macOS”, señalaron los investigadores de Sekoia Amaury G., Coline Chavane y Felix Aimé, atribuyendo el esfuerzo al infame grupo Lazarus, vinculado a la Oficina General de Reconocimiento (RGB) de Corea del Norte.

Un aspecto notable de la campaña es su enfoque en entidades financieras centralizadas, suplantando empresas como Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood y Bybit, marcando un cambio respecto a los ataques previos contra entidades financieras descentralizadas (DeFi).

Contagious Interview, al igual que Operation Dream Job, utiliza ofertas de trabajo falsas como señuelo para atraer a posibles víctimas y engañarlas para que descarguen malware que puede robar criptomonedas y otros datos confidenciales. Para ello, se contacta a los candidatos a través de LinkedIn o X, pidiéndoles que descarguen un software de videoconferencia infectado con malware o un proyecto de código abierto que activa el proceso de infección.

La táctica ClickFix, revelada por primera vez a fines de 2024 por el investigador de seguridad Taylor Monahan, utiliza las cadenas de ataque para implementar una familia de malware llamada FERRET, que luego introduce la puerta trasera Golang.

En esta versión de la campaña, se les pide a las víctimas que visiten un servicio de entrevistas por video llamado Willo y completen una evaluación en video de sí mismos. “Toda la configuración, diseñada para generar confianza en el usuario, fluye sin problemas hasta que se les solicita activar la cámara”, explicó Sekoia. “En ese momento, aparece un mensaje de error indicando que el usuario necesita descargar un controlador para solucionar el problema. Es entonces cuando se aplica la técnica ClickFix”.

Las instrucciones dadas a las víctimas para habilitar el acceso a la cámara o al micrófono varían según el sistema operativo. En Windows, se les solicita abrir el Símbolo del sistema y ejecutar un comando curl para ejecutar un archivo de Visual Basic Script (VBS), que inicia un script por lotes que ejecuta GolangGhost.

Si la víctima visita el sitio desde un equipo macOS, se le pide abrir la aplicación Terminal y ejecutar un comando curl para ejecutar un script de shell, el cual ejecuta un segundo script que luego activa un módulo ladrón llamado FROSTYFERRET (también conocido como ChromeUpdateAlert) y la puerta trasera.

FROSTYFERRET muestra una ventana falsa que indica que Chrome necesita acceder a la cámara o al micrófono del usuario, y luego solicita la contraseña del sistema. La información introducida, independientemente de su validez, se filtra a una ubicación en Dropbox, lo que sugiere un intento de acceder al llavero de iCloud con la contraseña robada.

GolangGhost está diseñado para permitir el control remoto y el robo de datos mediante varios comandos que permiten cargar/descargar archivos, enviar información del host y robar datos del navegador web.

“Se descubrió que ninguno de los puestos estaba relacionado con perfiles técnicos en desarrollo de software”, indicó Sekoia. “Los puestos eran principalmente de gerentes enfocados en desarrollo de negocios, gestión de activos, desarrollo de productos o especialistas en finanzas descentralizadas”.

Este cambio es significativo con respecto a campañas anteriores, donde los ataques, atribuidos a actores de amenazas vinculados a la RPDC y basados en entrevistas falsas de trabajo, estaban orientados principalmente a desarrolladores e ingenieros de software.

El programa de trabajadores de TI de Corea del Norte también se está expandiendo en Europa. Google Threat Intelligence Group (GTIG) ha señalado un aumento en los esquemas de trabajadores de TI fraudulentos, destacando que ciudadanos norcoreanos se hacen pasar por trabajadores remotos legítimos para infiltrarse en empresas y generar ingresos ilícitos para Pyongyang, violando sanciones internacionales.

Además, los trabajadores de TI ahora apuntan a empresas que operan bajo la política de “Traiga su propio dispositivo” (BYOD), ya que estos dispositivos son menos propensos a tener herramientas de seguridad tradicionales. Esto refleja la adaptabilidad y el crecimiento de las operaciones de amenazas norcoreanas, que ahora se extienden más allá de los Estados Unidos y buscan aprovechar vulnerabilidades en Europa.

Fuente: thehackernews.com

You May Also Like

Los hackers explotan los mu-plugins de WordPress para inyectar spam y secuestrar imágenes del sitio.

El malware AllaKore RAT se dirige a empresas mexicanas con trucos de fraude financiero

El APT37 de Corea del Norte apunta a la contraparte del sur con el nuevo malware M2RAT