Mensajes falsificados de LinkedIn. Esa es la herramienta que utilizan los nuevos ciberdelincuentes, según alerta el laboratorio de ESET, en una campaña con la que tratan de conseguir beneficios financieros e información confidencial.
Los ataques han sido denominados por ESET como ‘Operación In(ter)ception’ debido a la muestra de malware relacionada de nombre “Inception.dll” y comenzaban con un mensaje de LinkedIn, generalmente en el que se ofrecía un oportunidad de trabajo.
Estos mensajes llegaban a las víctimas bien directamente a través de LinkedIn o mediante un correo electrónico que contenía un enlace a OneDrive. En el caso de los mensajes de correo electrónico, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn.
“El mensaje consistía en una oferta de trabajo bastante creíble, procedente de una compañía relevante del sector. El perfil de LinkedIn era falso y los mensajes adjuntos enviados durante la conversación contenían archivos maliciosos”, ha explicado Dominik Breitenbacher, responsable de la investigación en ESET.
Una vez que la víctima abría el archivo, un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, el malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como persistencia en el sistema.
A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto, explican desde ESET.
“Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”, comenta Breitenbacher. “Sin embargo, ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”.
Además de las técnicas de espionaje, los investigadores de ESET han encontrado pruebas de que los delincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas. Entre los mails de las víctimas se han encontrado comunicaciones sobre facturas impagadas entre el afectado y sus clientes en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes.
Afortunadamente, en los casos investigados el cliente sospechó del mensaje y contactó con la víctima para confirmar la veracidad del correo, frustrando el intento de los atacantes de conseguir comprometer también a los clientes de la víctima.
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…
“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…
Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.
Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…
Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…
