Los actores de amenaza de Corea del Septentrión detrás de la entrevista contagiosa han recogido la táctica de ingeniería social ClickFix cada vez más popular para atraer a los solicitantes de empleo en el sector de criptomonedas para entregar una puerta trasera de GO previamente indocumentada convocatoria Golangghost en Windows y MacOS Systems.
La nueva actividad, evaluada como una continuación de la campaña, ha sido conocido en código Entrevista de ClickFake por la empresa francesa de ciberseguridad Sekoia. Se sabe que la entrevista contagiosa, incluso rastreada como la desarrollación de DeceptedEbper, y el afamado Chollima, está activo desde al menos diciembre de 2022, aunque solo se documentó públicamente por primera vez a fines de 2023.
“Utiliza sitios web legítimos de entrevistas de trabajo para emplear la táctica de clickfix e instalar ventanas y macOS traseros”, dijeron los investigadores de Sekoia Amaury G., Coline Chavane y Felix Aimé, atribuyendo el esfuerzo a la infame Lázarus Group, un adversario prolífico atribuido a la oficina militar de Reconnaición (RGB) de la República Demócrata del Pueblo de la Pueblo de la Pueblo de la Pueblo de la Pueblo de la Pueblo de la Pueblo (DPRK).
Un aspecto trascendente de la campaña es que se dirige principalmente a las entidades financieras centralizadas al hacerse advenir por compañías como Coinbase, Kucoin, Kraken, Circle, Securitize, Blockfi, Tether, Robinhood y Bybit, marcando una salida de los ataques del especie de piratería contra las entidades de finanzas descentralizadas (Defi).
La entrevista contagiosa, como Operation Dream Job, emplea ofertas de trabajo falsas como señuelos para atraer objetivos posibles y engañarlos para que descarguen malware que pueda robar la criptomonedas y otros datos confidenciales.
Como parte del esfuerzo, se acerca a los candidatos a través de LinkedIn o X para prepararse para una entrevista de videollamadas, para la cual se les pide que descarguen un software de videoconferencia de malware o un esquema de código libre que active el proceso de infección.
El uso de Lazarus Group de la táctica ClickFix fue revelado por primera vez a fines de 2024 por el investigador de seguridad Taylor Monahan, con los cadenas de ataque que conducen al despliegue de una comunidad de malware convocatoria Ferret que luego ofrece la puerta trasera de Golang.
En esta iteración de la campaña, se les pide a las víctimas que visiten un supuesto servicio de entrevistas de video llamado Willo y completen una evaluación de video de sí mismas.
“Toda la configuración, diseñada meticulosamente para ocasionar confianza del heredero, continúa sin problemas hasta que se le pide al heredero que habilite su cámara”, explicó Sekoia. “En este punto, aparece un mensaje de error que indica que el heredero necesita descargar un regulador para solucionar el problema. Aquí es donde el cirujano emplea la técnica ClickFix”.
Las instrucciones dadas a la víctima para permitir el ataque a la cámara o al micrófono varían según el sistema eficaz utilizado. En Windows, se solicita a los objetivos que anconada el símbolo del sistema y ejecute un comando CURL para ejecutar un archivo de script de Visual Basic (VBS), que luego inicia un script por lotes para ejecutar GolangGhost.
En el caso de que la víctima visite el sitio desde una máquina MacOS, se les pide de guisa similar que inicie la aplicación Terminal y ejecute un comando CURL para ejecutar un script de shell. El script de shell taimado, por su parte, ejecuta un segundo script de shell que, a su vez, ejecuta un módulo de robador denominado Frostyferret (incluso conocido como ChromeUpdateAlert) y la puerta trasera.
Frostyferret muestra una ventana falsa que indica que el navegador web Chrome necesita ataque a la cámara o micrófono del heredero, luego de lo cual muestra una solicitud para ingresar la contraseña del sistema. La información ingresada, independientemente de si es válida o de otra guisa, se exfila a una ubicación de Dropbox, lo que probablemente indica un intento de lograr al argolla iCloud utilizando la contraseña robada.
Golangghost está diseñado para suministrar el control remoto y el robo de datos a través de varios comandos que le permiten cargar/descargar archivos, dirigir información del host y robar datos del navegador web.
“Se descubrió que todas las posiciones no estaban relacionadas con perfiles técnicos en el incremento de software”, señaló Sekia. “Son principalmente trabajos de apoderado centrados en el incremento empresarial, la administración de activos, el incremento de productos o los especialistas en finanzas descentralizadas”.
“Este es un cambio significativo de las campañas documentadas anteriores atribuidas a los actores de amenaza de DPRK-Nexus y basado en entrevistas falsas de trabajo, que se dirigieron principalmente a desarrolladores e ingenieros de software”.
El esquema de trabajadores de TI de Corea del Septentrión se vuelve activo en Europa
El incremento se produce cuando el Colección de Inteligencia de Amenazos de Google (GTIG) dijo que ha observado un aumento en el esquema de trabajadores de TI fraudulentos en Europa, subrayando una expansión significativa de sus operaciones más allá de los Estados Unidos.
La actividad de los trabajadores de TI implica a los ciudadanos norcoreanos que se hacen advenir por trabajadores remotos legítimos para infiltrarse en empresas y ocasionar ingresos ilícitos para Pyongyang en violación de las sanciones internacionales.
Una longevo conciencia de la actividad, adjunto con las acusaciones del Unidad de Ecuanimidad de los Estados Unidos, ha instigado una “expansión entero de las operaciones de trabajadores de TI”, dijo Google, señalando que descubrió varias personas fabricadas en rebusca de empleo en varias organizaciones ubicadas en Alemania y Portugal.
Asimismo se ha observado que los trabajadores de TI realizan varios proyectos en el Reino Unido relacionados con el incremento web, el incremento de BOT, el incremento del Sistema de Gobierno de Contenido (CMS) y la tecnología Blockchain, a menudo falsifican sus identidades y afirman ser de Italia, Japón, Malasia, Singapur, Ucrania, Estados Unidos y Vietnam.
Esta táctica de los trabajadores de TI que se hacía advenir por los ciudadanos vietnamitas, japoneses y singapurenses incluso fue destacada por la firma de inteligencia administrada Nisos a principios del mes pasado, mientras llamaba la atención sobre su uso de Github para tallar nuevas personas o reciclar el contenido de cartera de personas mayores para alentar sus nuevos.
“Los trabajadores de TI en Europa fueron reclutados a través de varias plataformas en linde, incluidos Upwork, Telegram y Freelancer”, dijo Jamie Collier, asesor de inteligencia de amenazas de Europa en GTIG en GTIG. “El suscripción por sus servicios se facilitó a través de la criptomoneda, el servicio de transferencia y Payoneer, destacando el uso de métodos que ofuscan el origen y el destino de los fondos”.
Por otra parte de usar facilitadores locales para ayudarlos a conseguir empleos, la operación de amenaza interna es testificador de lo que parece ser un aumento en los intentos de molestia desde octubre de 2024, cuando se convirtió en un conocimiento conocido de que estos trabajadores de TI están recurriendo a los pagos de rescate de sus empleadores para evitar que liberen datos de propiedad o para proporcionarle a un competidor.
En lo que parece ser una proceso adicional del esquema, ahora se dice que los trabajadores de TI apuntan a empresas que operan una política de traer su propio dispositivo (BYOD) correcto al hecho de que es poco probable que dichos dispositivos tengan herramientas tradicionales de seguridad y registro utilizadas en entornos empresariales.
“Europa necesita despertarse rápidamente. A pesar de estar en la mira de las operaciones de los trabajadores de TI, demasiados perciben esto como un problema de los Estados Unidos. Los recientes cambios de Corea del Septentrión probablemente provienen de los obstáculos operativos de los Estados Unidos, mostrando la agilidad y la capacidad de los trabajadores para adaptarse a las circunstancias cambiantes”, dijo Collier.
“Una término de diversos ataques cibernéticos precede a la última oleada de Corea del Septentrión, desde la sencilla y el ransomware, hasta el compromiso de robo de criptomonedas y sujeción de suministro. Esta innovación implacable demuestra un compromiso de larga data para financiar el régimen a través de las operaciones cibernéticas”.
