LinkdIn es la nueva cuna de los ciberdelincuentes: te ofrecen empleo para robar tus datos

Investigadores han descubierto una campaña de phishing con malware personalizado en la que los ciberdelincuentes se hacen pasar por reclutadores en la plataforma de empleo LinkedIn para ejecutar código malicioso.

Según la firma de ciberseguridad Mandiant, los atacantes utilizan la ingeniería social para convencer a las víctimas de interactuar a través de WhatsApp, medio a través del cual distribuyen la puerta trasera PlankWalk escrito en C++, camuflado como una oferta de empleo.

MIRA: “Tu cuenta bancaria ha sido bloqueada”: ¿por qué suplantar bancos es la modalidad favorita de los ciberestafadores?

Mandiant comenzó a investigar esta campaña en junio de 2022, cuando se percató de que iba dirigida a una empresa de tecnología con sede en Estados Unidos y de que estaba formada por tres variantes de ‘malware’ desconocido, con nombres TOUCHMOVE, SIDESHOW y TOUCHSHIFT.

Este presunto grupo de espionaje procedente de Corea del Norte, que recibe el nombre de UNC2970 —y que se vincula al conocido grupo UNC577—, se habría dirigido a los usuarios de Estados Unidos y Europa directamente a través de LinkedIn utilizando cuentas falsas para hacerse pasar por reclutadores.

“Estas cuentas están bien diseñadas y seleccionadas profesionalmente para imitar las identidades de los usuarios legítimos a fin de establecer una relación y aumentar la probabilidad de conversación e interacción”, explica Mandiant en su informe.

MIRA TAMBIÉN: “Hola, soy tu nieto y necesito 3.000 dólares″: ciberdelincuentes estafan a ancianos con voces generadas por IA

De este modo, los ciberdelincuentes invitan a sus víctimas a entablar una conversación a través de WhatsApp y utilizan PlanWalk para propagar carga maliciosa tras enviarles una oferta de trabajo presuntamente legítima. Este virus está diseñado para dar acceso a usuarios maliciosos al control de un equipo infectado de manera remota.

El documento de la vacante no solo incluyen especificaciones de las condiciones del presunto puesto de empleo que ofrece, sino que también integra malware. Este documento, además, viene en una carpeta ZIP que también contiene una versión personalizada de TightVNC.

Gracias a esta aplicación informática, que se instala en la memoria del dispositivo y que Mandiant denominda LidShift, los ciberdelincuentes pueden controlar las pantallas de estos equipos de forma remota.

MIRA: La IA puede ser capaz de combatir los ataques de los ciberdelincuentes

Al ejecutarla, utiliza bibliotecas de enlace dinámico (DLL, por sus siglas en inglés) —código ejecutable que se carga bajo demanda— cifradas y permite activar comandos como TouchShot, un registrador de capturas de pantalla, o TouchKey, que captura los movimientos de las teclas del dispositivo.

Otra de estas cargas útiles maliciosas es SideShow, que permite a los ciberdelincuentes ordenar hasta 49 comandos, como la ejecución de código arbitrario en el dispositivo comprometido, manipular la configuración del firewall o ejecutar cargas útiles adicionales, entre otras acciones.