El grupo de amenazas Lazarus, vinculado a Corea del Norte, ha adoptado la táctica ClickFix para distribuir el malware GolangGhost, un backdoor basado en Go que afecta tanto a Windows como a macOS.

Este ataque, denominado ClickFake Interview por la firma de ciberseguridad Sekoia, se dirige a profesionales del sector financiero centralizado. Usando falsas ofertas de empleo en empresas como Coinbase, KuCoin y Kraken, los atacantes contactan a sus víctimas a través de LinkedIn o X, solicitándoles descargar software malicioso para videoconferencias.

Cuando los candidatos intentan activar su cámara durante la supuesta entrevista, se les presenta un error que les indica descargar un controlador, desencadenando la infección. En Windows, el ataque se ejecuta mediante un script en Visual Basic (VBS), mientras que en macOS se emplea un shell script. El malware FROSTYFERRET engaña a la víctima con un falso mensaje de Chrome para obtener su contraseña, posiblemente con el fin de acceder a su iCloud Keychain.

Paralelamente, Google Threat Intelligence Group (GTIG) ha detectado un aumento de la actividad fraudulenta de trabajadores de TI norcoreanos en Europa. Estos individuos se hacen pasar por profesionales de desarrollo web, blockchain y CMS, utilizando plataformas como Upwork y Telegram para obtener empleos remotos. La expansión de este esquema se debe al aumento de medidas en EE.UU., lo que ha obligado a los atacantes a buscar nuevos objetivos en Alemania, Portugal y Reino Unido.

Este tipo de campañas refuerzan la necesidad de extremar precauciones ante ofertas de empleo sospechosas y el uso de dispositivos personales en entornos corporativos.

Fuente: thehackernews.com