Investigadores de la firma Mandiant han descubierto que ciberdelincuentes utilizan LinkedIn para difundir y ejecutar un código malicioso, esto luego de contactar a víctimas a través de ofertas de empleo falsas ofrecidas en la plataforma de empleo.
La firma de ciberseguridad comenzó a investigar la amenaza en junio del año pasado, cuando se percató de que la campaña de ataques iba dirigida a una empresa de tecnología con sede en Estados Unidos y estaba formada por tres variantes de malware desconocido, los cuales llevaban el nombre de TOUCHMOVE, SIDESHOW y TOUCHSHIFT.
Mandiant señaló que los delincuentes buscan convencer a las víctimas de interactuar a través de la aplicación de mensajería instantánea WhatsApp, para distribuir por ese medio la puerta trasera PlankWalk, la cual está escrita con lenguaje C++ y que se camuflajea como una oferta laboral a través de la plataforma.
De acuerdo con lo que señala Europa Press el presunto grupo de espionaje, procedente de Corea del Norte, recibe el nombre UNC2970. Ellos buscan usuarios de LinkedIn de Estados Unidos y Europa utilizando cuentas falsas, haciéndose pasar por reclutadores.
De acuerdo con lo informado por Mandiant: “Estas cuentas están bien diseñadas y seleccionadas profesionalmente para imitar las identidades de los usuarios legítimos a fin de establecer una relación y aumentar la probabilidad de conversación e interacción”.
Como señalamos los ciberdelincentes buscan entablar una conversación a través de WhatsApp buscando infectar los dispositivos con el PlanWalk para propagar la carga maliciosa después de enviarles la oferta laboral supuestamente legítima.
El virus está diseñado para dar el acceso al dispositivo a usarios maliciosos con el fin de que ellos puedan controlarlo de forma remota.
Y es que en la charla no sólo se envía la información sobre el supuesto empleo que se ofrece, sino también el malware. El documento viene en una carpeta ZIP en la que está incluida una versión personalizada de TightVNC.
El malware, denominado por Mandiant como LidShift, se instala en la memoria del dispositivo y por este medio los ciberdelincuentes pueden controlar las pantallas de los equipos de forma remota.
Al ejecutarse utiliza bibliotecas de enlace dinámico, un código ejecutable que se carga bajo demanda, cifradas, lo que permite activar comandos como TouchShot (registrador de capturas de pantalla) o TouchKey (captura los movimientos de las teclas del dispositivo).
Otro de los malwares que se utiliza en este tipo de ataques es el SlideShow, un programa que permite a los delincuentes el ordenar 49 comandos, como la ejecución de código arbitrario en el dispositivo que se utiliza para manipular el firewall del dispositivo o ejecutar útiles adicionales, entre otras acciones.
Fuente: Europa Press.
