Un grupo de hackers norcoreanos, etiquetado como UNC2970, se han hecho pasar por reclutadores, dirigiéndose a trabajadores en una variedad de industrias relacionadas con los medios de comunicación y la tecnología, con ofertas de trabajos extravagantes, en firmas de renombre y con salarios elevados. La intención es desarmar todas las medidas de seguridad del dispositivo móvil y obtener los datos privados de los usuarios.
En el pasado, esta campaña de phishing se llevó a cabo principalmente por correo electrónico, pero ahora los investigadores están viendo que estos piratas informáticos de Corea del Norte trasladan sus intentos de phishing a LinkedIn y WhatsApp. Los atacantes usan la ingeniería social para convencer a sus víctimas de interactuar a través de WhatsApp, donde lanzan el malware.
¿En qué consiste este ataque de phishing por WhatsApp?
La actividad del grupo UNC2970 incluye una variedad de perfiles de LinkedIn basados en usuarios legítimos, diseñados especialmente para engañar. De este modo, llegan a sus víctimas con ofertas de trabajo falsas y los convencen de continuar la conversación en WhatsApp, donde serían atacados con malware.
Estos hackers se han centrado en atacar previamente a empresas tecnológicas, grupos de medios y entidades en la industria de la defensa. Pero, en su última campaña se han centrado en los sistemas de seguridad, lo que posiblemente sugiere que están haciendo un cambio de estrategia o una expansión de sus operaciones.
También se ha descubierto que las actividades de UNC2970 están vinculadas a los grupos UNC577 (Temp.Hermit) y UNC4034. Estos grupos usan la ingeniería social para engañar a sus víctimas y convencerlos de descargar un archivo a través de WhatsApp, que sirve como puerta trasera en los dispositivos.
Una vez infectado, los hackers despliegan un troyano que es capaz de ejecutar un código en el dispositivo comprometido, desde un servidor remoto. De esta forma, ellos pueden modificar el registro, manipular la configuración del firewall, agregar nuevas tareas programadas y ejecutar cargas útiles adicionales. Todo esto sin que el usuario se entere.
Toda una campaña de phishing
Este grupo de ciberdelincuentes tiene una campaña de phishing desde junio de 2022, que envía constantemente familias de malware a organizaciones de tecnología y medios de comunicación de EE. UU. y Europa.
El primero de sus ataques a WhatsApp fue en septiembre de 2022, cuando implicó el uso de esta red social para que los usuarios descargaran una puerta trasera llamada AIRDRY.V2 con la excusa de compartir una prueba de evaluación de habilidades.
UNC2970 es una de las principales unidades de hackers asociados con la Oficina General de Reconocimiento (RGB) de Corea del Norte junto con Andariel y APT38 (también conocido como BlueNoroff). Los tres conjuntos de actores se conocen colectivamente como el Grupo Lázaro. Su objetivo está orientado al espionaje, sin embargo, algunos miembros de este grupo también buscan estrictamente la criptografía y la generación de ingresos.
¿Sabías de este nuevo ataque de phishing por WhatsApp? ¿Qué harías para protegerte de este ataque?
Fuente | Mandiant
