El grupo de ciberataques Lazarus, relacionado con Corea del Norte, ha estado utilizando este tipo de tácticas desde al menos 2019 para atacar organizaciones en Japón. Estos ataques suelen iniciarse con un contacto a través de LinkedIn, donde los atacantes pueden suplantar identidades legítimas, lo que dificulta la detección de actividad sospechosa. Debido a la naturaleza de estos ataques, se recomienda a las organizaciones restringir el uso de redes sociales en dispositivos de trabajo y evaluar las políticas de uso de estas plataformas.
El blog detalla varios incidentes que ilustran el peligro de este tipo de ataques. Los atacantes a menudo comparten ciertas características al intentar establecer contacto a través de LinkedIn, lo que puede servir como alerta para los usuarios. Estas características incluyen el intento de cambiar de plataformas de comunicación, la presión para descargar archivos maliciosos y el uso del inglés en sus taxativas, a menudo contrastado por el uso del japonés en los correos electrónicos.
Una de las operaciones destacadas es la denominada «Sueño de Trabajo», en la que los atacantes se dirigen a industrias relacionadas con la defensa. Secuestran cuentas legítimas de LinkedIn de personal de recursos humanos en empresas proveedoras de defensa. Después de establecer contacto, persuaden a los empleados para que cambien a plataformas como Skype para discutir ofertas de trabajo, momento en el cual pueden enviar documentos maliciosos para infectar el dispositivo de la víctima. Esta táctica presenta un método sofisticado al utilizar cuentas legítimas, haciéndola más difícil de detectar.
Otra operación que merece atención es «Contraseña Peligrosa», que se ha estado llevando a cabo desde 2019 y está orientada principalmente a intercambios de criptomonedas. Los atacantes contactan a empleados mediante LinkedIn con el objetivo de que descarguen un archivo ZIP que contiene un malware conocido, que ha mantenido su nombre desde que se identificó por primera vez. Sin embargo, sus métodos han evolucionado a lo largo del tiempo, adaptándose para atacar sistemas operativos como macOS y utilizando distintas metodologías de ataque.
Por último, la operación «AppleJeus» se enfoca en víctimas en el mundo de las criptomonedas. En este caso, los atacantes comunican a través de LinkedIn y, tras establecer contacto, envían links dirigidos a Telegram, donde intentan que la víctima descargue e instale un archivo malicioso disfrazado como herramienta de intercambio de criptomonedas.
Los ejemplos anteriores destacan un patrón alarmante en la utilización de LinkedIn para ejecutar ciberataques. La tendencia de estos tipos de ataques está en aumento, impulsada por la facilidad de acceso que ofrecen las redes sociales a los atacantes para legitimar sus interacciones. Los proveedores de seguridad en Japón han recomendado a las organizaciones revisar sus políticas de uso de redes sociales en entornos laborales y aplicar medidas para proteger a los empleados de posibles interacciones maliciosas.
A medida que estos ataques evolucionan, es fundamental que las empresas se mantengan alertas y adopten una postura proactiva frente a la seguridad cibernética, así como educar a sus empleados sobre el riesgo asociado con el uso de redes sociales en el trabajo. Implementar controles adecuados y establecer pautas claras puede ayudar a mitigar el riesgo de ser objetivo de este tipo de actividades maliciosas.
Enlace de la fuente, haz clic para tener más información