Operación In(ter)ception: el mensaje de LinkedIn que roba tu información confidencial y tu dinero

18 junio, 2020
5 Compartido 1,417 Visualizaciones

Descubierta una operación que utiliza campañas de malware personalizadas contra instituciones militares y compañías aeroespaciales

El laboratorio de ESET, ha descubierto una campaña de ciberataques altamente dirigidos que utilizaban mensajes falsificados de LinkedIn y técnicas de ocultación para evitar ser desenmascarados con el objetivo de conseguir beneficios financieros e información confidencial. Los ataques, denominados por ESET ‘Operación In(ter)ception’ debido a la muestra de malware relacionada de nombre “Inception.dll”, se llevaron a cabo entre septiembre y diciembre del año pasado.

El ataque comenzaba con un mensaje de LinkedIn.Este mensaje consistía en una oferta de trabajo bastante creíble, procedente de una compañía relevante del sector. El perfil de LinkedIn era falso y los mensajes adjuntos enviados durante la conversación contenían archivos maliciosos”, comenta Dominik Breitenbacher, responsable de la investigación en ESET. 

Los mensajes se enviaban directamente a través de un mensaje de LinkedIn o de correo electrónico que contenía un enlace a OneDrive. En el caso de los mensajes de correo electrónico, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn. Una vez que la víctima abría el archivo, un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, el malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como persistencia en el sistema. A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto. Además, se aprovechaban de una táctica conocida como “living off the land”, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas. 

Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”, comenta Breitenbacher. “Sin embargo, ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”. 

Además de las técnicas de espionaje, los investigadores de ESET han encontrado pruebas de que los delincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas. Entre los mails de las víctimas se han encontrado comunicaciones sobre facturas impagadas entre el afectado y sus clientes en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes. Afortunadamente, en los casos investigados el cliente sospechó del mensaje y contactó con la víctima para confirmar la veracidad del correo, frustrando el intento de los atacantes de conseguir comprometer también a los clientes de la víctima. 

Este intento de monetizar el acceso a la red de la víctima debe servir como ejemplo a la hora de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar adecuadamente a los empleados de cualquier organización en ciberseguridad. Una concienciación básica en ciberseguridad ayuda a los trabajadores a conocer y a reconocer las tácticas usadas por los ciberdelincuentes por minoritarias que sean”, concluye Breitenbacher. 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

«En ciberseguridad hay mucho más trabajo que realizar, que personas dispuestas a hacer ese trabajo»
Actualidad
39 compartido3,304 visualizaciones1
Actualidad
39 compartido3,304 visualizaciones1

«En ciberseguridad hay mucho más trabajo que realizar, que personas dispuestas a hacer ese trabajo»

Vicente Ramírez - 18 enero, 2019

El sector de la ciberseguridad avanza a pasos agigantados y en cada paso, un reto sale a luz. Cloud, IoT,…

Understanding Chronicle, the new Alphabet security company
Sin categoría
28 compartido1,662 visualizaciones
Sin categoría
28 compartido1,662 visualizaciones

Understanding Chronicle, the new Alphabet security company

Vicente Ramírez - 19 junio, 2019

Madrid acogió  la pasada semana la primera edición de CISO Day, evento organizado por Cybersecurity News y que acogió a más…

El grupo Turla renueva su arsenal
Actualidad
27 compartido2,941 visualizaciones
Actualidad
27 compartido2,941 visualizaciones

El grupo Turla renueva su arsenal

Vicente Ramírez - 23 julio, 2019

Los investigadores de Kaspersky han descubierto que el actor de amenazas de habla rusa Turla ha renovado su conjunto de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.