Los piratas informáticos se dirigen a las víctimas potenciales con malware disfrazado de ofertas de trabajo falsas, advirtieron los expertos en seguridad cibernética.
Los investigadores de ESET descubrieron que el grupo criminal Lazarus se dirigía a los usuarios de Linux que pretendían enviar correos electrónicos a las víctimas que trabajaban en las industrias de software o plataforma DeFi, prometiendo nuevos roles.
Sin embargo, los mensajes enviados a través de LinkedIn u otras plataformas de redes sociales son solo una táctica para que las víctimas descarguen malware.
ataque de lázaro
Lazarus, que se cree que está afiliado al gobierno de Corea del Norte, ha ganado notoriedad en los últimos años por una serie de campañas de ciberdelincuencia dirigidas a usuarios de todo el mundo.
Esto incluye Operation DreamJob, cuya campaña reciente se lanzó como resultado de un reciente ataque a la cadena de suministro contra el proveedor de VoIP 3CX, que los expertos ahora están casi seguros de que fue iniciado por Lazarus.
en su informe (se abre en una nueva pestaña) En el evento, ESET describió cómo las víctimas estaban siendo atacadas en las redes sociales y les pidió que descargaran un archivo que, según afirmó, contenía detalles del nuevo trabajo.
En su ejemplo, ESET encontró un archivo ZIP llamado «oferta de trabajo de HSBC.pdf.zip», que contenía un archivo que a primera vista parecía un PDF, pero en realidad usaba caracteres Unicode en su nombre como un disfraz.
«El uso de un punto inicial en el nombre del archivo puede tener la intención de engañar a los administradores de archivos para que traten el archivo como un ejecutable en lugar de un PDF», agregó ESET. «Esto puede hacer que el archivo se ejecute cuando se hace doble clic en lugar de abrirse con un visor de PDF».
Si se hace clic en él, el malware, llamado OdicLoader, muestra un PDF falso mientras descarga una carga útil en segundo plano y, tras una inspección adicional por parte de ESET, parece estar dirigido a máquinas virtuales Linux VMware.
Las secuelas del ataque de marzo de 2023 a 3CX continúan sacudiendo a la industria tecnológica. Informes recientes sugieren que Lazarus se dirige específicamente a las empresas de criptomonedas que utilizan una versión troyana de la plataforma.
3CX tiene más de 12 millones de usuarios diarios y sus productos son utilizados por más de 600.000 empresas en todo el mundo.Su lista de clientes incluye American Express, Coca-Cola, McDonald’s, Air France, IKEA, el Servicio Marketingdecontenido de Salud del Reino Unido y varios fabricantes de automóviles, incluidos BMW, Honda , Toyota y Mercedes Benz.
