Mediante ofertas de trabajo falsas de Coinbase y Crypto.com, piratas informáticos introducen virus en computadoras

Imagínese encontrar el trabajo de sus sueños: buenos ingresos, un puesto de renombre y categoría dentro de unas de las compañías más grandes del mundo. Pero, de un momento a otro, esta ilusión se derrumba, debido a que se trataba solo de un ataque informático, mediante el cual un hacker puede acceder a sus datos, información privada y hasta a sus ahorros. ¡Una pesadilla completa!

Tal parece que el grupo norcoreano de piratas informáticos, Lázaro, ha convertido esta narrativa en una de sus modalidades favoritas de atraco.

Informes de ESET y Sentinel One muestran que mediante lucrativas ofertas de trabajo de Coinbase y Crypto.com implantan programas maliciosos a los usuarios del sistema operativo de Apple, macOS.

Desde el pasado mes de agosto, ESET pudo identificar estas supuestas ofertas de trabajo, gracias a que el archivo fue subido en Virus Total Brasil, una página gratuita que proporciona el análisis de archivos y páginas web a través de antivirus. En esta, los piratas informáticos ofrecían una supuesta oferta de trabajo, en el Exchange de criptomonedas Coinbase.

Según el seguimiento realizado por ESET, el principal método de atracción a las victimas se realiza a través de la plataforma de Linkedin. En esta, los ‘hackers’ se contactan vía mensaje directo con la víctima, y con sofisticados mecanismos de convencimiento consiguen acceder a los datos de la víctima. Con él envió de un archivo PDF, que contiene un software dañino.

Nota relacionada: Tras el caso Daily Cop, aprenda a identificar un esquema Ponzi con criptomonedas, según recomendaciones de expertos

Esta es no es una practica reciente, tal parece, que es una modalidad que remonta su uso a más de un año. Con ataques direccionados tanto para Windows, como para usuarios Apple. Esto dice Sentinel One al respecto.

“El actor de amenazas APT vinculado a Corea del Norte, Lazarus, ha estado utilizando señuelos para ofertas de trabajo atractivas en una serie de campañas desde al menos 2020”

Sentinel One, firma de ciberseguridad

Con el archivo de la supuesta oferta de trabajo venían compilados tres archivos, uno en formato PDF, llamado Coinbase_online_careers_2022_07.pdf, el paquete de un aplicativo, llamado FinderFontsUpdaterapp; y un ‘downloader’, safarifontagent.

Los piratas de Lázaro llaman a esta “operación”” Operation Dream Job («operativo trabajo soñado») y Operation In(ter)ception. Con las que también han afectado a empleados del rubro aeroespacial y vinculados al Departamento de Defensa de los Estados Unidos.

Entre los nombres más comunes de estos archivos, Sentinel One, ha compilado algunos, estos son: wifianalyticsagent en la carpeta ~/Library/LaunchAgents/com.wifianalyticsagent.plist de macOS. Otros de los archivos maliciosos son WifiAnalyticsServ.app y FinderFontsUpdater.app.

Entre otras recomendaciones, Sentinel y ESET aconsejan desconfiar de este tipo de propuestas de trabajo y a descargar en la computadora solo archivos que provengan de fuentes confiables.

El caso Axie Infinity

A través de esta modalidad fue que este grupo de piratas informáticos, vinculados a gobierno norcoreano, pudo dar inicio al derrumbe al juego NFT más grande de todo el mundo. Con una falsa oferta de trabajo los ‘hackers’ pudieron extraer 540 millones de dólares en criptomonedas de la red del videojuego. Un golpe del que no se ha podido recuperar

Según dos fuentes, que hablaron con The Block, aseguraron que a un ingeniero de la compañía fue enviada una presentación en PDF, a través de una cuenta verificada en Linkedin, que especificaba todas las cláusulas de la oferta laboral, acompañada de un tentativo paquete económico.

Al descargar este archivo PDF, el ingeniero le dio acceso a un software espía, que se infiltró en todos los sistemas de Ronin, la billetera propia del juego. Y desde este punto, fue que empezó realmente la tragedia. A través de Ronin se les abrieron las puertas de acceder a dato privados, contraseñas, credenciales y activos de los usuarios y la compañía.

En una entrada del blog publicada el 27 de abril, Sky Mavis dijo: “Los empleados están sometidos a constantes ataques avanzados de spear-phishing en varios canales sociales y un empleado fue comprometido. Este empleado ya no trabaja en Sky Mavis. El atacante consiguió aprovechar ese acceso para penetrar en la infraestructura informática de Sky Mavis y obtener acceso a los nodos validadores.”

Con la colaboración de Binance, Sky Mavis abrió un fondo para recaudar ingresos que utilizo para reembolsar a los usuarios afectados por el exploit.