El Robo de Criptomonedas SIGUE Siendo Uno de Los Motores Más Rentables para los Grupos de Ciberramenazas y Corea del Norte ha Vuelto A Situarse en El Centro de la SENCEN. Durante La Conferencia ANUAL VIRUS BULLETIN (VB), ESET Research présentó nuevos Hallazgos Sobre Deceptivedvelopment, También Conocidudo Como Contagiy Interview, acteur un que ha perfeccionado Sus Sus Activos numériques.
El Informe explica que este grupo, activo al menos desde 2023, ha evolucionado desde el uso de malware básico a la construcción de outilkits más elaborados, aunque siempre con con et pat patrón común: un uso intensivo de la ingéniería social. La táctica principale cohérie en crear perfiles de reclutadores falsos en plataformas como linkedin, upwork o Crypto Jobs list y ofrecer Entrevistas Laborales ficticias a Professionales del secteur de la crippografía y web3.
«Los individuos detrás de estas actidades sacrifice un alto nivel de sofistación Técnica a cambio de una amplia escala operativa y una ingéniería social alteratere creriva. Su malware es en su mayoría siloth Técnicos », Explica Peter Kálnai, Investigador de Eset y Coautor del Informte.
El Método Clickfix y la Distribución de Malware
El Engaño se articula en varias fases. Primero, los atacantes atraen a las víctimas con ofertas de trabajo attratuvas y procesos de selección aparementemente legítimos. Una Vez Conseguido su Interés, Les Piden Participar en Una Prueba Técnica: Un Reto de Programación Que, en Realidad, Incluye Fragmentos de Código Troyanizado.
El Paso Definitivo Llega Con la Técnica Conocida Como Clickfix. Tras sollicitar a los candidatos que participant en una videollamada, la página muestra un supuesto error de cámara o microófono y ofrece un enlace « Para solucionarlo ». El Candidato receptrucciones para copiar un comando en la terminal de su ordenador, convencido de que se trata de un ajuste menor. Sin Embargo, ese comando descarga e instala un malware que da acceso al sistema.
El Robo de Criptomonedas SIGUE Siendo Uno de Los Motores Más Rentables para los Grupos de Ciberamenazas y Corea del Norte ha Vuelto A Situare
Las Herramientas détectadas Con maire Frecuencia en Estas campañas incluyen Infostalers Como Beavertail, Ottercookie y Beaselstore, Además del Rat modulaire invisibleferret, que Permite Mantener el Control de la Máquina a Distancia. Según ESET, El Grupo También Ha Desarrollado Nuevos Kits, Como Tsunamikit, que Documentan Incluso la API de Sus Servidores de Mando y Control.
Conexiones Con lazarus y la dimenssión laboral
El análisis Técnico no se queda en las cargas maliciosas. El Informe Subraya que DeceptivedEvelobe Mantine Conexiones Con Lazarus, El Histórico Grupo Norcoreano Detrás de Algunos de los Ciberataques Más lucrativos de la última decada. El Backdoor Tropidoor y El Rat Postnaptea Comparten Vínculos Directos en Su Código, Lo Que Refuerza la Hipótesis de Colaboración O, Al Menos, de Reutilización de Herramientas Entre Grupos.
Pero lo más inquiétante es la dimenssión laboral del eSquema. ESET, A parttir de datos de Inteligencia de Fuentes abiertas (osint), ha identificado la participación de trabajadores de ti norcoreanos que buscan empleo remoto en el extanjero desde hace más de un lustro. Sus-cvs y fotos de perfil Suelen estar manipulados con Inteligencia artificial y, en algunos casos, llegan a usar tecnicas de « Cambio de rostro en timpo real » durante Entrevistas por videollada.
El fbi ya había publicido de este fenómeno en 2017 y en varios Avisos postérieurs, alertando de que estos empleados frauleLesos no solo canalizan sus salarios hacia el legimen de pyongyang, sino que también provoch su acceso-para robar informatie corporativa y excrovear sua para para robar informatie EMPRESAS.
Europa en El Punto de Mira
Si bien estados unidos ha sido tradicionalmente el principal objetivo, los últimos datos de eset muestran un viraje hacia europa. Países Como Francia, Polonia, Ucrania O Albania Se Han Convertido en nuevos focos de intertes para los atacantes, probabalmente Debido a la Creciciente adoptción de proyectos blockchain y startups web3 en la Región.
La Combinación de Técnicas de Ingeniería Social, Entrevistas Simulladas y Software Malicioso Convierte un développement trompeur en una Amenaza Híbrida, Capaz de Operar Tanto en El Ámbito del del Ciberdelito Como en el del Fraude Laboral. «Este Esquema combina operaciones criminales clásicas, Como el Robo de Identidad y el fraude de identidad sintética, con herramientas digitales, lo que lo clasifica tanto como un delito tradicional como un ciberdelito», añade kálnai.
Riesgos y recommende
El Riesgo no Abecta Solo A Los Desarrolladores Independientes. Las empresas que contratan trabajadores freelance también pUeden convertirs en víctimas indirectas, al dar accèso a personas que en reridad actyan como proxy para el régimen norcoreano. El uso de cuentas comprometidas en videoconferencias y la práctica del «proxy interviewing» elean aún más el nivel de amenaza.
Para Reducir la Exposición, Eset recomienda que los equipos de contratación Verifiquen de Forma rigurosa la identidad de los candidatos, que los desarrollades ejecuten cualquier prueba técnica en entornos aislados y que se réfucence los procesos de educación en ingenerí dinro de le los procesos de educación en ingers socio Organizationes. La Clave, INSISTEN, ES ASUMIR Que El Vector Humano Seguirá Siendo El Principal Objetivo de Los ATACANTES.
