La búsqueda de nuevas oportunidades de empleo ha llevado a innumerables profesionales a LinkedIn, la red que promete conectar a empleados potenciales con sus empleadores soñados. Sin embargo, la reciente aparición de ofertas de trabajo fraudulentas, disfrazadas de oportunidades en la empresa de hardware de computadoras Corsair, ha encendido nuevas alarmas en la comunidad cibernética. Estos anuncios maliciosos tienen como objetivo final infiltrar los sistemas de los usuarios con un tipo de malware conocido como "DarkGate", que se esconde detrás de la promesa de una carrera profesional prometedora.
Los expertos en seguridad de la firma WithSecure identificaron y monitorizaron estas prácticas nefastas, revelando en un informe reciente que los responsables están asociados con colectivos de hackers vietnamitas. Estos grupos están detrás de las operaciones conocidas como 'Ducktail', que fueron descubiertas inicialmente el año anterior.
El propósito principal de estas campañas maliciosas es apoderarse de cuentas comerciales de Facebook de gran valor, las cuales pueden ser explotadas para lanzar anuncios intrusivos o ser comercializadas en el bajo mundo digital.
DarkGate no es nuevo, habiendo emergido por primera vez en 2017. Sin embargo, su uso era relativamente restringido hasta junio de 2023, momento en que el creador del malware comenzó a ofrecer acceso al software malicioso a un público más extenso, intensificando su presencia y uso.
Incidentes recientes de ataques relacionados con DarkGate implican tácticas de phishing mediante el uso de plataformas como Microsoft Teams para difundir el malware. Los ciberdelincuentes también han estado manipulando cuentas vulneradas de Skype, utilizando scripts VBS (Visual Basic Script), desencadenando así un proceso de infección que finalmente instala el malware en los sistemas de las víctimas. Este método de ataque resalta una vez más la astucia y la continua adaptación de los ciberdelincuentes en su intento de comprometer la seguridad cibernética y la privacidad de los usuarios.
Te podría interesar leer: Protección de Phishing: No Muerdas el Anzuelo
Ciberdelincuentes vietnamitas han puesto su mira principalmente en profesionales de EE. UU., Reino Unido e India, especialmente aquellos en roles de administración de redes sociales que probablemente posean credenciales de acceso a cuentas empresariales de Facebook. La trampa se establece utilizando LinkedIn, presentando una falsa propuesta laboral supuestamente proveniente de Corsair.
Las víctimas son persuadidas para descargar archivos dañinos desde un enlace específico ("g2[.]by/corsair-JD"), el cual lleva a sitios legítimos como Google Drive o Dropbox para bajar un archivo ZIP ("Salario y nuevos productos.8.4.zip") que contiene tanto documentos PDF como DOCX y un archivo TXT, nombrados estratégicamente como sigue:
- Descripción del trabajo de Corsair.docx
- Salario y nuevos productos.txt
- PDF Salario y Productos.pdf
El equipo de expertos de WithSecure dedicó tiempo al análisis exhaustivo de los metadatos de estos documentos, desentrañando indicios que señalan al malware RedLine como el contenido verdaderamente distribuido. Dentro del contenido descargado reside un script VBS, potencialmente anexado al archivo DOCX, diseñado para replicar y renombrar 'curl.exe', trasladándolo a un nuevo directorio. Este actúa como precursor para bajar 'autoit3.exe' y un script compilado de Autoit3. Una vez en acción, el ejecutable lanza el script, que a su vez procede a revelar y ensamblar el malware DarkGate, valiéndose de secuencias específicas presentes en el código script.
Sorprendentemente, solo treinta segundos después de la infiltración, el software malicioso busca desactivar cualquier producto de seguridad instalado en el sistema comprometido, sugiriendo un método altamente automatizado detrás de la operación.
En respuesta a estos tipos de abusos, LinkedIn ha implementado nuevas medidas desde finales del año pasado, diseñadas para proteger contra el mal uso de la plataforma. Estas herramientas podrían asistir a los usuarios en la identificación de perfiles dudosos o falsificados. No obstante, la responsabilidad final recae en los usuarios para diligenciar la verificación de la autenticidad de la información antes de interactuar con cuentas desconocidas.
Te podría interesar leer: Perfiles de LinkedIn comprometidos en amplia campaña de Ciberataques
A continuación, algunos pasos que los profesionales pueden seguir para salvaguardar su seguridad en línea:
Verificación minuciosa: No confíes ciegamente en ofertas de empleo atractivas. Investiga la empresa y contacta directamente sus oficinas o a través de su página web oficial para confirmar la validez de la oferta.
Cuidado con los enlaces y descargas: Evita descargar archivos o hacer clic en enlaces de fuentes no verificadas. Este es un método común para infiltrar malware en tu sistema.
Mantén actualizado tu software de seguridad: Asegúrate de que tu sistema esté protegido con la última versión de software antivirus y de seguridad cibernética. Realiza análisis regulares para detectar posibles amenazas.
Educación y conciencia: Mantente informado sobre las últimas tácticas y amenazas de ciberseguridad. La educación continua es una de las mejores defensas contra la creciente sofisticación de los ciberdelincuentes.
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
En resumen, la ciberseguridad no es solo responsabilidad de los individuos sino de toda la comunidad en línea. Desde las plataformas que utilizamos para conectarnos hasta las empresas cuyas identidades son falsificadas, todos tenemos un papel que desempeñar en la salvaguarda de nuestros espacios digitales.
El incidente de las ofertas de trabajo falsas de Corsair es un recordatorio crítico de que la vigilancia en línea es más importante que nunca. En un mundo donde las oportunidades pueden convertirse en amenazas y la seguridad personal está en juego, la educación, la prudencia y la precaución son nuestras mejores aliadas.