Investigadores de ESET descubrieron un ciberataque que utilizó spearphishing poco convencional y malware multinivel contra empresas aeroespaciales y militares europeas. Estos ataques altamente notables se descubrieron en LinkedIn, a través de malware sofisticado y por medio de trucos efectivos se mantuvieron fuera del radar y aparentemente tenía como objetivo robar información e ingresos a particulares.
Estos ataques se dieron por medio de un malware conocido como “Inception.dll” y fueron realizados entre septiembre y diciembre del 2019 aunque identificados recientemente. La investigación comenzó por una publicación fijada en LinkedIn, aparentemente era una oferta de trabajo bastante creíble, relacionada a una reconocida empresa en un sector importante.
Por supuesto, el perfil era falso y los archivos enviados durante la comunicación establecida fueron maliciosos, aseguró Dominik Breitenbacher, líder de la investigación realizada que analizó el suceso. Todos los archivos enviados directamente a los interesados por mensaje de la red social o por correo contenían un enlace a OneDrive. De entre los archivos se incluía un PDF que contenía información relacionada a la oferta falsa de trabajo, mientras las victimas leían el archivo el malware se infiltraba de manera silenciosa.
Entre las herramientas que los hackers empleaban se encontraba un malware adaptado y multinivel camuflado de software legítimo, así como versiones modificadas de software con código abierto. Asimismo, se utilizaron tácticas conocidas como “living off the land”, de tal modo que modificaban las características de Windows para realizar diversas operaciones maliciosas.
Gran parte de los ataques indicaban señales de espionaje y un posible vínculo con el grupo de hackers Lazarus. No obstante, la investigación realizada no da certeza total sobre cuáles eran los archivos que los delincuentes buscaban. Aunado al espionaje, también hay evidencia que indica los hackers trataron de usar las cuentas de las víctimas para extraer dinero de otras compañías.
En los correos de las víctimas, los atacantes interceptaron mensajes entre las víctimas y empresas con facturas por pagar pendientes. Intentaron que las victimas pagaran las facturas, animándolos a depositar a una cuenta de banco propia del grupo. Por fortuna, las victimas consideraron esto sospechoso y contactaron a las compañías frustrando el fraude.
La conclusión de la investigación exhorta a las empresas a establecer una mejora en sus sistemas de ciberseguridad, ya que este ataque representa un ejemplo para hacerlo y asimismo educar a los empleados para que reconozcan técnicas menos conocidas como la de este ataque a sectores importantes como el militar y el aeroespacial donde el malware se infiltró en una red poco esperada, LinkedIn, y operó de manera particular.
Notipress