Un nuevo ataque de phishing usa Linkedin como excusa para atacar a usuarios e instalar malware

Se descubrió un nuevo caso de phising y estafas a través de ofertas laborales de Linkedin. Cómo cuidarse de no caer en la trampa.

Una nueva campaña de spear-phishing dirigida a profesionales en LinkedIn, con ofertas de trabajo armadas, intenta infectar los dispositivos de los usuarios con un sofisticado troyano de puerta trasera llamado "more_eggs". Para aumentar las probabilidades de éxito, los señuelos de phishing aprovechan los archivos ZIP maliciosos que tienen el mismo nombre que el de los puestos de trabajo de las víctimas tomados de sus perfiles de LinkedIn

"Por ejemplo, si el trabajo del miembro de LinkedIn aparece como Ejecutivo de cuentas senior - Carga internacional, el archivo zip malicioso se llamaría Ejecutivo de cuentas senior - Puesto de carga internacional (tenga en cuenta la 'posición' agregada al final)", respuesta a amenazas de la empresa de ciberseguridad eSentire. Unit (TRU) dijo en un análisis. "Al abrir la oferta de trabajo falsa, la víctima, sin saberlo, inicia la instalación sigilosa de la puerta trasera sin archivos, more_eggs".

Las campañas que utilizan este malware y el mismo modus operandi se han detectado al menos desde 2018, y la puerta trasera se atribuye a un proveedor de malware como servicio (MaaS) llamado Golden Chickens. Los responsables detrás de esta nueva ola de ataques siguen siendo desconocidos, aunque more_eggs ha sido utilizado por varios grupos de delitos informáticos como Cobalt, FIN6 y EvilNum en el pasado.

Una vez instalado, more_eggs mantiene un perfil sigiloso al secuestrar procesos legítimos de Windows mientras presenta el documento de "solicitud de empleo" señuelo para distraer a los objetivos de las tareas en segundo plano desencadenadas por el malware. Además, puede actuar como un conducto para recuperar cargas útiles adicionales de un servidor controlado por atacantes, como troyanos bancarios, ransomware, ladrones de credenciales e incluso utilizar la puerta trasera como punto de apoyo en la red de la víctima para filtrar datos.

CÓMO RECONOCER UNA ESTAFA

Cuando se trata de ataques de este tipo, conviene estar atento a diferentes indicadores que pueden delatar la estafa.

1. Remitente: son contactos desconocidos o que simulan ser organizaciones o personalidades reconocidas, que suelen estar mal escritos.

2. Dirección de correo: puede resultar similar a la dirección real pero no es exactamente la misma. Puede faltar o sobrar una letra o estar sustituida por un número. Por ejemplo: hxxps://visa-tarjeta[.]xxxxxx[.]com/xxxxx (la dirección correcta es https://visa.com.ar/).

3. Asunto y contenido: usualmente se trata de un correo no esperado, sobre algo urgente que requiere acción inmediata o de un peligro inminente.

4. Enlaces y adjuntos: el contenido suele llevar a enlaces o pide completar datos o descargar archivos que contienen malware o programas maliciosos habitualmente conocidos como virus.

Tags relacionados

Más de Actualidad