Los piratas informáticos de Corea del Norte están intentando atraer a expertos en criptomonedas a través de ofertas de trabajo falsas para la plataforma de intercambio de criptomonedas Coinbase.
Según informa Bleeping Computer, se ha descubierto una campaña orquestada por el conocido grupo de piratería Lazarus de Corea del Norte, y su objetivo son los involucrados en la cada vez más popular industria fintech (tecnología financiera).
En lo que claramente es parte de un ataque de ingeniería social, el grupo de piratería entabla una conversación con los objetivos a través de LinkedIn, que finalmente culmina en una oferta de trabajo que se presenta a la víctima potencial.
Coinbase es una empresa líder en el intercambio de criptomonedas, por lo que, a primera vista, muchos de los que no están al tanto del ataque naturalmente estarán interesados en agregarlos a sus currículums. Sin embargo, si el ataque tuviera éxito, las consecuencias podrían conducir a la incautación y robo de cantidades incalculables de billeteras criptográficas.
Hossein Jazi, quien trabaja como investigador de seguridad en la firma de seguridad de Internet Malwarebytes y ha estado analizando a Lazarus desde febrero de 2022, dijo las personas de la pandilla cibernética se hacen pasar por empleados de Coinbase. La estafa atrae a las víctimas potenciales acercándose a ellas para que desempeñen el papel de «Gerente de Ingeniería, Seguridad del Producto».
Si esa persona se enamora de la oferta de trabajo falsa, eventualmente se le darán instrucciones para descargar un PDF que explica el trabajo en su totalidad. Sin embargo, el archivo en sí es en realidad un ejecutable malicioso que utiliza un icono de PDF para engañar a la gente.
El archivo en sí se llama «Coinbase_online_careers_2022_07.exe», que parece bastante inocente si no lo supieras mejor. Pero mientras abre un documento PDF falso creado por los atacantes, también carga códigos DLL maliciosos en el sistema del objetivo.
Una vez que se implementa con éxito en el sistema, el malware utilizará GitHub como un centro de comando central para recibir comandos, después de lo cual tiene rienda suelta para llevar a cabo ataques en los dispositivos que han sido violados.
Los servicios de inteligencia de EE. UU. emitieron advertencias anteriormente sobre la actividad de Lazarus en la emisión de billeteras de criptomonedas y aplicaciones de inversión infectadas con troyanos, lo que les permite robar claves privadas.
Y los esfuerzos del grupo han sido lucrativos, por decir lo menos: el FBI descubrió que había robado criptomonedas por un valor de más de $617 millones en ese momento.
Este ataque en particular, que está conectado a un juego basado en blockchain, se materializó debido a otro archivo PDF engañoso, que se envió como una oferta de trabajo a uno de los ingenieros de blockchain. Una vez que se abrió el archivo, el sistema de la persona se infectó, lo que allanó el camino para que Lazarus localizara una falla de seguridad y la aprovechara a lo grande.
En cualquier caso, la perspectiva es aterradora: abrir un solo archivo PDF puede comprometer toda la red. En el caso de Coinbase, que maneja miles de millones de dólares en transacciones criptográficas, uno solo puede imaginar cuál sería el resultado y las ramificaciones financieras si Lazarus logra encontrar una forma de entrar.
Por el momento, si Coinbase se acerca a usted en cualquier capacidad, podría ser una buena idea tener cuidado al abrir cualquier archivo.
Recomendaciones de los editores