Estás revisando tu correo y te llega un currículum que parece justo lo que necesitas. El perfil es perfecto, los detalles encajan, todo parece en orden... pero lo que no sabes es que ese archivo adjunto contiene algo mucho más peligroso que un simple currículum: un malware diseñado para infectar tu sistema. Los ciberdelincuentes han encontrado una nueva forma de atacar, y esta vez su objetivo son los reclutadores. Utilizan solicitudes de empleo falsas para infiltrarse en redes empresariales y desatar el caos. ¿Qué puedes hacer para protegerte de esta nueva amenaza?
Recientemente, se ha detectado una campaña de phishing dirigida a reclutadores, utilizando un archivo malicioso de JavaScript conocido como More_eggs, que se presenta bajo la apariencia de solicitudes de empleo falsas. Este tipo de ataque busca engañar a los reclutadores para que descarguen archivos infectados, creyendo que están revisando currículums legítimos.
More_eggs es un malware vendido como servicio (MaaS) y tiene la capacidad de robar credenciales, incluidas cuentas bancarias en línea, correos electrónicos y accesos de administrador de TI. Este software malicioso ha sido vinculado a un grupo de amenazas llamado Golden Chickens, también conocido como Venom Spider, y ha sido utilizado por otros grupos de cibercrimen como FIN6, Cobalt y Evilnum.
A principios de junio se descubrió un ataque similar que utilizaba LinkedIn para distribuir currículums falsos, alojados en un sitio web controlado por los atacantes. Estos archivos, en lugar de ser currículums reales, eran archivos de acceso directo de Windows (LNK) que, al abrirse, iniciaban una cadena de infección.
Los ataques recientes han mostrado un pequeño cambio en la estrategia, ya que los cibercriminales enviaron correos de phishing más personalizados, probablemente para ganarse la confianza de los destinatarios. En agosto de 2024, uno de estos ataques fue dirigido a un reclutador del sector de ingeniería. El reclutador descargó un archivo llamado "John Cboins.zip" desde una URL a través de Google Chrome. Aunque no está claro cómo llegó a obtener esa URL, las actividades indicaban que estaban buscando un ingeniero de ventas interno.
Conoce más sobre: Nueva Era de Ciberataques: IA y el Phishing como Protagonistas
La URL maliciosa, "johncboins[.]com", contenía un botón que invitaba a la víctima a "Descargar CV", lo que en realidad desencadenaba la descarga de un archivo ZIP con un archivo LNK en su interior. Al hacer doble clic en este archivo, se ejecutaban comandos ocultos que terminaban lanzando una DLL maliciosa, cuyo objetivo era instalar la puerta trasera More_eggs.
Una vez que More_eggs está activo, primero verifica si se está ejecutando con privilegios de administrador o de usuario, y luego comienza a ejecutar una serie de comandos para recopilar información sobre el sistema infectado. A partir de ahí, se conecta a un servidor de comando y control (C2) para recibir instrucciones adicionales y descargar más malware.
En variantes recientes de esta campaña, también se ha visto el uso de PowerShell y Visual Basic Script (VBS) como parte del proceso de infección. Esto añade un nivel extra de complejidad al ataque. Identificar a los responsables detrás de estos ataques es complicado, ya que el malware vendido como servicio (MaaS) permite a distintos actores acceder a las mismas herramientas e infraestructura. Sin embargo, por las tácticas y técnicas empleadas, se sospecha que el grupo FIN6 podría estar detrás de este ataque.
Para evitar caer víctima de este tipo de ataques, tanto empresas como individuos pueden implementar varias prácticas recomendadas de ciberseguridad:
Formación en ciberseguridad: Es fundamental capacitar a los trabajadores, especialmente al personal de recursos humanos, para que puedan reconocer intentos de phishing y otras estafas. Estos equipos suelen estar en la primera línea de estos ataques.
Sistemas de filtrado de correos: Implementar herramientas como TecnetProtect, que incluyen características avanzadas de protección del correo electrónico. Este tipo de solución ayuda a bloquear archivos adjuntos sospechosos y mensajes provenientes de dominios desconocidos o poco confiables, protegiendo a la empresa desde la primera línea.
Soluciones antivirus y antimalware: Todos los dispositivos deben estar protegidos con software de seguridad actualizado. Configurar estos sistemas para detectar y bloquear amenazas nuevas es clave para reducir el riesgo de infección.
Políticas claras sobre la apertura de archivos adjuntos: Las empresas deben establecer directrices específicas para el manejo de correos que contengan archivos adjuntos. Solo deben abrirse después de una verificación adecuada.
Podría interesarte leer: Ciberseguridad en Octubre: Mes de la Concientización
Revisión detallada de correos electrónicos: Si trabajas en reclutamiento, es crucial examinar minuciosamente los correos electrónicos y archivos adjuntos antes de abrirlos. Asegúrate de tener un buen antivirus siempre actualizado para proteger tu dispositivo.
No habilitar macros sin una revisión previa: Muchos ataques se ejecutan a través de macros. Si un documento te pide habilitarlas, asegúrate de que el archivo proviene de una fuente confiable antes de hacerlo.
Verificación de remitentes: Antes de descargar cualquier archivo adjunto, revisa cuidadosamente la dirección de correo del remitente y otros detalles. Asegúrate de que sean legítimos y no estén intentando suplantar a alguien más.
Evitar descargar archivos comprimidos: A menos que tengas una razón válida y confirmada por el remitente, es mejor evitar abrir archivos comprimidos como .zip o .rar en correos de solicitantes.
Las solicitudes de empleo falsas son una amenaza en constante crecimiento, y los cibercriminales están perfeccionando sus técnicas para atacar a las empresas, especialmente en áreas como el reclutamiento. Sin embargo, las empresas pueden mitigar estos riesgos combinando formación, políticas claras y herramientas de seguridad robustas como TecnetProtect.
Es crucial mantenerse alerta, revisar cuidadosamente los correos, y nunca abrir archivos sospechosos. Verificar siempre la identidad del remitente y contar con un software de protección adecuado son pasos esenciales para proteger tanto a las organizaciones como a los individuos de estos ataques. ¿Tu empresa está preparada para detectar y frenar estas amenazas antes de que sea demasiado tarde?