- Los investigadores fueron engañados por piratas informáticos norcoreanos que realizaban una campaña de empleo falsa
- Fueron engañados para que usaran una zona de pruebas que pensaban que era una computadora portátil legítima.
- Esto proporciona información valiosa sobre sus tácticas.
Una investigación dirigida por Mauro Eldritch, fundador de BCA Ltd, en colaboración con Northscan y ANY.RUN, ha descubierto al infame grupo Lazarus en uno de sus planes más notorios: la campaña de “conversaciones maliciosas”. Como parte de este plan, los agentes de la RPDC pretenden engañar a reclutas legítimos para que los contraten en las principales empresas, un puesto que pueden utilizar para llevar a cabo actividades nefastas.
Los investigadores de esta operación de recopilación de inteligencia pudieron atrapar a piratas informáticos que creían que eran “verdaderos desarrolladores de portátiles”, pero que en realidad eran entornos sandbox controlados remotamente por ANY.RUN.
En la última campaña vista, los hackers contrataron a verdaderos ingenieros para que actuaran como testaferros, ofreciendo entre el 20% y el 30% de su salario a cambio de asistir a entrevistas y reuniones.
La famosa Chollima
Al engañar a los delincuentes, apodados ‘Famous Chollima’, para que usaran el sandbox, los investigadores pudieron revelar sus tácticas y un conjunto limitado pero poderoso de herramientas que permiten el secuestro de identidad sin implementar ransomware.
Descubrieron que estaban siendo utilizados por delincuentes; Generadores de OTP basados en navegador, herramientas de automatización de IA y Google Remote Desktop para evitar 2FA y permitir un control consistente del host.
Esto no es particularmente sorprendente, ya que hemos visto muchas iteraciones de estos ataques con estrategias y herramientas tecnológicas en evolución. El FBI publicó recientemente un memorando advirtiendo sobre los esfuerzos de los piratas informáticos norcoreanos.
“Los esquemas de ingeniería social de Corea del Norte son complejos y elaborados, y a menudo comprometen a víctimas con capacidades técnicas sofisticadas. Dada la escala y la persistencia de esta nefasta actividad, incluso aquellos expertos en prácticas de ciberseguridad pueden ser vulnerables a la decisión de Corea del Norte de comprometer redes asociadas con activos de criptomonedas”.
Con esta investigación, los equipos de seguridad obtienen una visión más detallada de cómo operan estos grupos criminales y las empresas pueden tener más confianza en su defensa. Es importante que las empresas comprendan las herramientas comunes que utilizan estas organizaciones porque un compromiso puede conducir a una infiltración mucho más significativa.
Fuente: Las noticias del hacker
La mejor protección contra robo de identidad para cada presupuesto
