Se cree que un grupo de piratas informáticos de Corea del Norte está detrás de una nueva campaña de malware que utiliza ofertas de trabajo falsas en LinkedIn para atraer a sus víctimas.
El grupo está publicando ofertas de trabajo falsas en las industrias de medios, tecnología y defensa bajo la apariencia de reclutadores legítimos. Incluso se hicieron pasar por el New York Times en un anuncio.
Empresa de inteligencia de amenazas Mandiant (se abre en una pestaña nueva) descubrió que la campaña ha estado en curso desde junio de 2022. Cree que está relacionada con otra campaña de malware originada en Corea del Norte, realizada por el infame grupo Lazarus, conocida como «Operación Dream Job», que viola los sistemas que pertenecen a los usuarios de criptomonedas.
Phishing para las víctimas
Mandiant, por su parte, cree que la nueva campaña es de un grupo separado de Lazarus, y es única en el sentido de que nunca antes se había visto el malware TouchMove, SideShow y TouchShift utilizado en los ataques.
Después de que un usuario responde a la oferta de trabajo de LinkedIn, los piratas continúan el proceso en WhatsApp, donde comparten un documento de Word que contiene macros peligrosas, que instalan troyanos de sitios de WordPress que los piratas informáticos han descifrado y utilizan como su centro de control.
Este troyano, basado en TightVNC y conocido como LidShift, a su vez carga un complemento malicioso Notepad++ que descarga malware conocido como LidShot, que luego implementa la carga útil final en el dispositivo: la puerta trasera PlankWalk.
Después de esto, los piratas informáticos utilizan un cuentagotas de malware llamado TouchShift, oculto en un archivo binario de Windows. Esto carga una gran cantidad de contenido malicioso adicional, incluidos TouchShot y TouchKey, una utilidad de captura de pantalla y un registrador de teclas respectivamente, así como un cargador llamado TouchMove.
También carga otra puerta trasera llamada SideShow, que permite un control de alto nivel sobre el sistema del host, como la capacidad de editar el registro, cambiar la configuración del firewall y ejecutar cargas útiles adicionales.
Los piratas informáticos también usaron el malware CloudBurst en empresas que no usaban una VPN, al abusar del servicio de administración de puntos finales Microsoft Intune.
Además, los piratas informáticos también explotaron una falla de día cero en el controlador ASUS «Driver7.sys», que es utilizado por otra carga útil llamada LightShow para parchear las rutinas del kernel en el software de protección de Endpoint para evitar la detección. Esta falla ya se corrigió.