Desde principios de 2024, investigadores de ESET han detectado una serie de actividades maliciosas vinculadas a actores cibernéticos alineados con Corea del Norte, que se hacen pasar por reclutadores para atraer a sus objetivos con ofertas de trabajo falsas. Esta táctica permite a los ciberdelincuentes aprovechar la distracción de sus víctimas, quienes están entusiasmadas con la posibilidad de conseguir un empleo. Bajo el nombre clave «DeceptiveDevelopment», estos operadores han comenzado a implementar pruebas de codificación como parte de un proceso de entrevista ficticio, utilizando proyectos de software que ocultan malware diseñado para robar información.
En esta maniobra, los operadores de DeceptiveDevelopment piden a las víctimas que realicen desafíos de programación, como añadir características a proyectos existentes, utilizando archivos que normalmente se encuentran en repositorios privados de GitHub. Sin embargo, estos archivos están comprometidos: al descargarlos y ejecutarlos, se introduce en la computadora de la víctima un malware de primera fase conocido como BeaverTail.
Este enfoque fue inicialmente documentado públicamente en 2023 por investigadores de otras organizaciones cibernéticas y desde entonces, ha evolucionado con herramientas más sofisticadas. Dentro de sus tácticas, este grupo se centra principalmente en desarrolladores de software freelance, operando a través de campañas de spearphishing en sitios de búsqueda de empleo y plataformas de freelancers para robar billeteras de criptomonedas y credenciales almacenadas en navegadores.
La actividad de DeceptiveDevelopment ha estado activa desde al menos noviembre de 2023 y su modus operandi incluye solicitar a las víctimas que realicen pruebas de codificación que finalmente resultan en la ejecución de código malicioso. Las víctimas son invitadas a descargar los archivos del repositorio, donde el código malicioso se oculta detrás de comentarios extensos, evitando su detección.
Los métodos de acceso inicial y la infraestructura de red de los actores de DeceptiveDevelopment han sido objeto de análisis detallado. Durante la investigación, se ha revelado que estas operaciones son reminiscentes de otras campañas alineadas con Corea del Norte, lo que apunta a una conexión creciente entre diferentes actores dentro de este espacio cibernético. Las víctimas han incluido desde desarrolladores novatos hasta profesionales altamente experimentados, y el idioma observado en las interacciones se ha limitado a conversaciones en inglés, aunque es posible que los atacantes utilicen herramientas de traducción para comunicarse con víctimas que no dominan este idioma.
El malware utilizado en esta actividad consiste en dos familias: BeaverTail, un ladrón de información y descargador, e InvisibleFerret, un malware modular que incluye spyware y componentes de acceso remoto. Ambos se entregan en fases, comenzando con BeaverTail para establecer un acceso inicial y luego descargando InvisibleFerret para ejecutar acciones más profundas.
La investigación y monitorización continúan, con la expectativa de que este grupo siga innovando y buscando nuevas maneras de atacar a los desarrolladores de software y otros profesionales involucrados en criptomonedas. Esta situación subraya la necesidad de precaución y vigilancia en plataformas de búsqueda laboral, donde los ciberdelincuentes están perfeccionando sus técnicas para aprovechar la búsqueda de empleo como un vector de ataque.
Fuente: WeLiveSecurity by eSet.
