Hackers norcoreanos se hacen pasar por Coinbase para atacar a empresas con criptomonedas a través de ofertas de trabajo falsas

Hackers norcoreanos se hacen pasar por Coinbase para atacar a empresas con criptomonedas a través de ofertas de trabajo falsas
Sin comentarios Facebook Twitter Flipboard E-mail

Lazarus se ha convertido en uno de los principales grupos de piratas informáticos en Corea del Norte que tiene atemorizados a numerosos usuarios debido a los muchos ataques que han realizado, por lo menos, desde el año 2009. Ahora este grupo ha vuelto a ganar protagonismo al usar una nueva campaña de ingeniería social en la que se hacen pasar por empleados de Coinbase para engañar a posibles aspirantes a un empleo como este.

La ingeniería social trata de engañar a un usuario concreto explotando una necesidad de este, como por ejemplo la búsqueda de empleo. Y es que esta estrategia pasa concretamente por entrar en LinkedIn como responsables directivos de Coinbase y sacar una oferta de trabajo. De esta manera se podrá mantener una conversación con posibles empleados de la industria fintech (económica y tecnológica).

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

Un ataque camuflado en un PDF para aspirar a un trabajo en Coinbase

Coinbase es conocido por todos al ser una de las plataformas de intercambio de criptomonedas más usadas a nivel mundial. Esto hace que sea realmente atractiva una oferta de trabajo con esta empresa, siendo precisamente lo que están explotando desde Corea del Norte. En concreto, a través de LinkedIn tratan de apuntar a candidatos para ser responsables de ingeniería, como ha apuntado el investigador Hossein Jazi.

Coinbase

El objetivo final pasa por enviar un archivo PDF a los posibles candidatos con las condiciones de la oferta laboral para entrar a Coinbase. Pero lo que de verdad se estarían descargando los entrevistados es un archivo malicioso con el icono de un PDF que es un simple señuelo para instalar posteriormente una DLL maliciosa.

Una vez se termina ejecutando (al abrir el supuesto archivo PDF) se utiliza GitHub como servidor para descargar todos los comandos necesarios que infectarán de manera definitiva el ordenador y extraer toda la información necesaria para ello.

El grupo informático persigue concretamente a aquellas personas que cuentan con algún tipo de inversión en criptomonedas o están en el mercado de NFT. Esto es algo que ya se produjo en Axie Infinity gracias a que un ingeniero de la compañía había recibido este archivo PDF en nombre de Coinbase. Al momento de ejecutarlo se infectó también el ordenador del ingeniero, comenzando a expandirse por toda la empresa. Esto hizo que se pudieran robar millones de dólares en monedas virtuales, siendo un ataque que se debe tener en cuenta.

Vía | BleepingComputer

Comentarios cerrados
Inicio