Los actores de amenaza de Corea del Norte detrás de la entrevista contagiosa han adoptado la táctica de ingeniería social ClickFix cada vez más popular para atraer a los solicitantes de empleo en el sector de criptomonedas para entregar una puerta trasera de GO previamente indocumentada llamada Golangghost en Windows y MacOS Systems.
La nueva actividad, evaluada como una continuación de la campaña, ha sido nombrado en código Entrevista de ClickFake por la empresa francesa de ciberseguridad Sekoia. Se sabe que la entrevista contagiosa, también rastreada como la desarrollación de DeceptedEbper, y el famoso Chollima, está activo desde al menos diciembre de 2022, aunque solo se documentó públicamente por primera vez a fines de 2023.
«Utiliza sitios web legítimos de entrevistas de trabajo para aprovechar la táctica de clickfix e instalar ventanas y macOS traseros», dijeron los investigadores de Sekoia Amaury G., Coline Chavane y Felix Aimé, atribuyendo el esfuerzo a la infame Lázarus Group, un adversario prolífico atribuido a la oficina general de Reconnaición (RGB) de la República Demócrata del Pueblo de la Pueblo de la Pueblo de la Pueblo de la Pueblo de la Pueblo de la Pueblo (DPRK).
Un aspecto notable de la campaña es que se dirige principalmente a las entidades financieras centralizadas al hacerse pasar por compañías como Coinbase, Kucoin, Kraken, Circle, Securitize, Blockfi, Tether, Robinhood y Bybit, marcando una salida de los ataques del grupo de piratería contra las entidades de finanzas descentralizadas (Defi).
La entrevista contagiosa, como Operation Dream Job, emplea ofertas de trabajo falsas como señuelos para atraer objetivos posibles y engañarlos para que descarguen malware que pueda robar la criptomonedas y otros datos confidenciales.
Como parte del esfuerzo, se acerca a los candidatos a través de LinkedIn o X para prepararse para una entrevista de videollamadas, para la cual se les pide que descarguen un software de videoconferencia de malware o un proyecto de código abierto que active el proceso de infección.
El uso de Lazarus Group de la táctica ClickFix fue revelado por primera vez a fines de 2024 por el investigador de seguridad Taylor Monahan, con los cadenas de ataque que conducen al despliegue de una familia de malware llamada Ferret que luego ofrece la puerta trasera de Golang.
En esta iteración de la campaña, se les pide a las víctimas que visiten un supuesto servicio de entrevistas de video llamado Willo y completen una evaluación de video de sí mismas.
«Toda la configuración, diseñada meticulosamente para generar confianza del usuario, continúa sin problemas hasta que se le pide al usuario que habilite su cámara», explicó Sekoia. «En este punto, aparece un mensaje de error que indica que el usuario necesita descargar un controlador para solucionar el problema. Aquí es donde el operador emplea la técnica ClickFix».
Las instrucciones dadas a la víctima para permitir el acceso a la cámara o al micrófono varían según el sistema operativo utilizado. En Windows, se solicita a los objetivos que abra el símbolo del sistema y ejecute un comando CURL para ejecutar un archivo de script de Visual Basic (VBS), que luego inicia un script por lotes para ejecutar GolangGhost.
En el caso de que la víctima visite el sitio desde una máquina MacOS, se les pide de manera similar que inicie la aplicación Terminal y ejecute un comando CURL para ejecutar un script de shell. El script de shell malicioso, por su parte, ejecuta un segundo script de shell que, a su vez, ejecuta un módulo de robador denominado Frostyferret (también conocido como ChromeUpdateAlert) y la puerta trasera.
Frostyferret muestra una ventana falsa que indica que el navegador web Chrome necesita acceso a la cámara o micrófono del usuario, después de lo cual muestra una solicitud para ingresar la contraseña del sistema. La información ingresada, independientemente de si es válida o de otra manera, se exfila a una ubicación de Dropbox, lo que probablemente indica un intento de acceder al llavero iCloud utilizando la contraseña robada.
Golangghost está diseñado para facilitar el control remoto y el robo de datos a través de varios comandos que le permiten cargar/descargar archivos, enviar información del host y robar datos del navegador web.
«Se descubrió que todas las posiciones no estaban relacionadas con perfiles técnicos en el desarrollo de software», señaló Sekia. «Son principalmente trabajos de gerente centrados en el desarrollo empresarial, la gestión de activos, el desarrollo de productos o los especialistas en finanzas descentralizadas».
«Este es un cambio significativo de las campañas documentadas anteriores atribuidas a los actores de amenaza de DPRK-Nexus y basado en entrevistas falsas de trabajo, que se dirigieron principalmente a desarrolladores e ingenieros de software».
El esquema de trabajadores de TI de Corea del Norte se vuelve activo en Europa
El desarrollo se produce cuando el Grupo de Inteligencia de Amenazos de Google (GTIG) dijo que ha observado un aumento en el esquema de trabajadores de TI fraudulentos en Europa, subrayando una expansión significativa de sus operaciones más allá de los Estados Unidos.
La actividad de los trabajadores de TI implica a los ciudadanos norcoreanos que se hacen pasar por trabajadores remotos legítimos para infiltrarse en empresas y generar ingresos ilícitos para Pyongyang en violación de las sanciones internacionales.
Una mayor conciencia de la actividad, junto con las acusaciones del Departamento de Justicia de los Estados Unidos, ha instigado una «expansión global de las operaciones de trabajadores de TI», dijo Google, señalando que descubrió varias personas fabricadas en busca de empleo en varias organizaciones ubicadas en Alemania y Portugal.
También se ha observado que los trabajadores de TI realizan varios proyectos en el Reino Unido relacionados con el desarrollo web, el desarrollo de BOT, el desarrollo del Sistema de Gestión de Contenido (CMS) y la tecnología Blockchain, a menudo falsifican sus identidades y afirman ser de Italia, Japón, Malasia, Singapur, Ucrania, Estados Unidos y Vietnam.
Esta táctica de los trabajadores de TI que se hacía pasar por los ciudadanos vietnamitas, japoneses y singapurenses también fue destacada por la firma de inteligencia administrada Nisos a principios del mes pasado, mientras llamaba la atención sobre su uso de Github para tallar nuevas personas o reciclar el contenido de cartera de personas mayores para reforzar sus nuevos.
«Los trabajadores de TI en Europa fueron reclutados a través de varias plataformas en línea, incluidos Upwork, Telegram y Freelancer», dijo Jamie Collier, asesor de inteligencia de amenazas de Europa en GTIG en GTIG. «El pago por sus servicios se facilitó a través de la criptomoneda, el servicio de transferencia y Payoneer, destacando el uso de métodos que ofuscan el origen y el destino de los fondos».
Además de usar facilitadores locales para ayudarlos a conseguir empleos, la operación de amenaza interna es testigo de lo que parece ser un aumento en los intentos de extorsión desde octubre de 2024, cuando se convirtió en un conocimiento público de que estos trabajadores de TI están recurriendo a los pagos de rescate de sus empleadores para evitar que liberen datos de propiedad o para proporcionarle a un competidor.
En lo que parece ser una evolución adicional del esquema, ahora se dice que los trabajadores de TI apuntan a empresas que operan una política de traer su propio dispositivo (BYOD) debido al hecho de que es poco probable que dichos dispositivos tengan herramientas tradicionales de seguridad y registro utilizadas en entornos empresariales.
«Europa necesita despertarse rápidamente. A pesar de estar en la mira de las operaciones de los trabajadores de TI, demasiados perciben esto como un problema de los Estados Unidos. Los recientes cambios de Corea del Norte probablemente provienen de los obstáculos operativos de los Estados Unidos, mostrando la agilidad y la capacidad de los trabajadores para adaptarse a las circunstancias cambiantes», dijo Collier.
«Una década de diversos ataques cibernéticos precede a la última oleada de Corea del Norte, desde la sencilla y el ransomware, hasta el compromiso de robo de criptomonedas y cadena de suministro. Esta innovación implacable demuestra un compromiso de larga data para financiar el régimen a través de las operaciones cibernéticas».