Ciberdelincuentes accionaban a través un 'malware' a través de falsas propuestas de entrevistas de trabajo en el sector cripto. Los detalles
10.02.2023 • 11:50hs • Ciberseguridad
Ciberseguridad
Conocé cómo operaban ciberdelincuentes a través de ofertas de empleo falsas
Ciberdelincuentes rusos ejecutaron una campaña enfocada en el envío de correos electrónicos fraudulentos que incorporan un ‘malware’ con presuntas ofertas de empleo. Los mismos estaban dirigidos a profesionales del sector de las criptomonedas.
Trend Micro analizó dicha maniobra de este grupo de ciberdelincuentes, que lograron infectar varios equipos con una versión modificada del 'malware' Stealerium y que recibe el nombre de Enigma.
El accionar del ‘malware’
El ‘marlware’ Stealerium es un ladrón de información integrado en el lenguaje de programación C# que envía registros de información robada a un servidor controlado por los propios actores de amenazas.
Además, puede realizar capturas de pantalla y registrar las pulsaciones de las teclas.
Al respecto, Enigma usó falsas ofertas y entrevistas de empleo orientadas a profesionales del sector de las criptomonedas de Europa del Este con una cadena de infección que comienza con un archivo RAR malicioso distribuido a través de redes sociales y por correo electrónico.
El archivo recibido por las víctimas contenía dos documentos:
- uno en el que se nombran las preguntas de la entrevista (documento con formato .txt)
- otro, con las condiciones del puesto de empleo (.word.exe).
Ciberdelincuentes operaban con un 'malware' a través de envíos de correos electrónicos con ofertas de trabajo.
El archivo mencionado, contenía preguntas de la entrevista en cirílico, sistema de escritura empleado para legitimar el documento fraudulento.
Por otra parte, el archivo de las condiciones del trabajo contenía una primera carga del ‘malware’ Enigma.
Con esto, el objetivo final era descargar y descomprimir el ‘software’ malicioso, que se instalaría en el dispositivo en varias partes o cargas útiles.
Para Trend Micro, Enigma usa dos servidores:
- El primero se sirve de la aplicación Telegram, mediante un canal controlado por el atacante para entregar cargas útiles y enviar comandos.
- Mientras que el segundo, se utiliza para DevOps y para concluir el registro de la carga maliciosa, donde el fin principal es deshabilitar el sistema de seguridad de Microsoft Defender, al implementar un controlador Intel de modo kernel malicioso.
Dicho controlador permitirá que los comandos se ejecuten con privilegios de kernel, de una forma que los ciberdelincuentes logren deshabilitar Microsoft Defender antes de que el ‘software’ malicioso descargue y ejecute la tercera carga útil.
Luego de estar incorporado en el sistema del dispositivo infectado, Enigma roba información del sistema y de usuario, como contraseñas de navegadores web y aplicaciones como Google Chrome, Microsoft Edge, Signal, Telegram, OpenVPN y Microsoft Outlook.
Los ciberdelincuentes enviaban un archivo con un 'malware', donde luego de ser instalado robaban información.
Tras recopilar datos, estos se filtran y se comprimen en un archivo ZIP para enviarlo a los ciberdelincuentes a través de Telegram.
Consejos para evitar ser hackeado
La empresa de ciberseguridad Hive Systems aconseja que una contraseña segura deberá tener al menos 12 caracteres y contener además símbolos. Aunque destacan que tales contraseñas con dichos caracteres especiales suelen ser olvidados por los usuarios.
Añadir dos caracteres en la contraseña que consiste en números, minúsculas y mayúsculas obstaculiza la vida del hacker, ya que por el momento, según el estudio que realizó la empresa, será necesario unos 200 años para averiguar tal código mientras que en el año pasado se requería unos 2.000 años.
Estos son los consejos para proteger una cuenta con una contraseña que será fuerte incluso dentro de varios años:
- 1. 16 caracteres como mínimo
- 2. Usar números, mayúsculas, minúsculas y símbolos
- 3. Usar un gestor de contraseñas para recordar estos códigos fuertes
- 4. Usar un método de autenticación en dos pasos