Sophos, mediante su Counter Threat Unit (CTU) ha estado analizando una campaña denominada “Contagious Interview”, llevada a cabo por NICKEL ALLEY, un grupo de amenazas que opera en nombre del gobierno de Corea del Norte. Este grupo es conocido por dirigirse a profesionales del sector tecnológico mediante la publicación de ofertas de empleo falsas, engañando a los candidatos a través de un proceso de entrevista ficticio y, finalmente, entregando malware.
En ataques dirigidos, NICKEL ALLEY suele crear una página de empresa falsa en LinkedIn para generar credibilidad y mantiene una cuenta coordinada en GitHub para la distribución de malware.
En algunos casos, los actores de amenazas han utilizado la popular táctica ClickFix para entregar malware mediante supuestas evaluaciones de habilidades laborales. Además, el grupo también ha llevado a cabo ataques oportunistas comprometiendo repositorios.
En concreto, de acuerdo con la investigación de Sophos, NICKEL ALLEY actualiza su infraestructura de red para alinearse con sus señuelos de ingeniería social y evadir detecciones. El grupo generalmente apunta a profesionales del sector tecnológico abiertos a trabajos freelance u otras oportunidades laborales. Los actores de amenazas suelen convencer a las víctimas de ejecutar el malware en sus sistemas corporativos, exponiéndolos no solo a ellos, sino que también a las organizaciones a este riesgo.
Dada la popularidad de la táctica ClickFix en diversas campañas tanto de ciberdelincuentes como de actores patrocinados por Estados, todas las empresas deberían monitorear la ejecución de comandos derivados de datos del portapapeles del navegador. Asimismo, los equipos de defensa deben prestar atención a comandos sospechosos que involucren una combinación de curl, PowerShell y la ejecución de archivos desde el directorio %TEMP%.
Si bien estos ataques parecen tener como objetivo principal el robo de monedas virtuales, el grupo ha demostrado su intención de utilizar el acceso inicial para comprometer cadenas de suministro o llevar a cabo espionaje corporativo. Las solicitudes persistentes para que las víctimas ejecuten código en sus sistemas corporativos —en lugar de en equipos personales— refuerzan esta intención.
Sophos recomienda a las organizaciones monitorear la ejecución de comandos y el tráfico de red generado por procesos de Node.js, ya que esto puede indicar la descarga de malware. Como práctica general de seguridad, se sugiere también a las empresas fomentar que los empleados reporten cualquier contacto sospechoso de reclutamiento no solicitado a través de redes sociales o correo electrónico.
Para revisar la investigación en detalle, es posible hacerlo en este link.
Acerca de Sophos
Sophos es líder en ciberseguridad y protege a 600,000 organizaciones en todo el mundo mediante una plataforma impulsada por inteligencia artificial y servicios liderados por expertos. Sophos acompaña a las organizaciones en cualquier etapa de madurez en ciberseguridad y evoluciona con ellas para enfrentar ciberataques. Sus soluciones combinan aprendizaje automático, automatización e inteligencia de amenazas en tiempo real con la experiencia del equipo Sophos X-Ops, para ofrecer monitoreo, detección y respuesta avanzadas 24/7. Sophos ofrece servicios líderes en Managed Detection and Response (MDR), junto con un portafolio integral de tecnologías de ciberseguridad que incluyen seguridad en endpoints, redes, correo electrónico y nube, detección y respuesta extendida (XDR), detección y respuesta ante amenazas a identidades (ITDR) y SIEM de nueva generación. En conjunto con servicios de asesoría especializados, estas capacidades ayudan a las organizaciones a reducir riesgos de forma proactiva y responder con mayor rapidez, con la visibilidad y escalabilidad necesarias para anticiparse a amenazas emergentes. Sophos comercializa sus soluciones a través de un ecosistema global de socios, incluyendo Managed Service Providers (MSPs), Managed Security Service Providers (MSSPs), revendedores, integraciones de marketplace y aliados en gestión de riesgos, lo que permite a las organizaciones elegir relaciones de confianza para proteger su negocio. Sophos tiene su sede en Oxford, Reino Unido. Más información en: www.sophos.com.
Equipo Prensa
Portal Innova
 ha estado analizando una campaña denominada “Contagious Interview”, llevada a cabo por NICKEL ALLEY, un grupo de amenazas que opera en nombre del gobierno de Corea del Norte. Este grupo es conocido por dirigirse a profesionales del sector tecnológico mediante la publicación de ofertas de empleo falsas, engañando a los candidatos a través de un proceso de entrevista ficticio y, finalmente, entregando malware.){kind=link}