No, Coinbase no quiere ofrecerle un trabajo, es una estafa de Corea del Norte
El infame actor de amenazas de Corea del Norte, Lazarus Group, ha sido visto tratando de atraer a los desarrolladores de blockchain con anuncios de trabajo falsos y cargados de malware.
Los investigadores de ciberseguridad de Malwarebytes han descubierto una nueva campaña en la que Lazarus asume la identidad (se abre en una nueva pestaña) de Coinbase, uno de los intercambios de criptomonedas más grandes y populares del mundo.
Luego, los delincuentes se ponen en contacto con los desarrolladores de blockchain con una oferta de trabajo para el puesto de "Gerente de ingeniería, seguridad de productos" e incluso realizan algunas entrevistas para hacer que toda la campaña sea más creíble. Sin embargo, en algún momento, los atacantes compartirán un archivo, aparentemente un PDF, con detalles de la supuesta estación de trabajo. Sin embargo, lo único que tiene este archivo con un PDF es el ícono, ya que en realidad es un ejecutable: Coinbase_online_careers_2022_07.exe. Además del .exe, el actor de amenazas también implementará una DLL maliciosa.
Abundancia de ofertas de trabajo falsas
Estos archivos luego se conectarán a GitHub, que sirve como un servidor de comando y control (C2), que comparte instrucciones adicionales sobre la mejor manera de infectar la terminal.
El ataque de la “oferta de trabajo falsa” no es nuevo. De hecho, el robo de criptomonedas más grande de todos los tiempos, un fuerte ataque de 600 millones de dólares en el puente Ronin, sucedió de la misma manera. Uno de los desarrolladores de Ronin fue abordado, a través de LinkedIn, por alguien que se hacía pasar por un cazatalentos en busca de desarrolladores de calidad.
Una cosa llevó a la otra, la víctima terminó descargando un archivo PDF armado que finalmente les dio a los atacantes las llaves del reino de Ronin.
El FBI también señaló al grupo Lazarus por este ataque. Ya sea que eso termine siendo cierto o no, este actor de amenazas no es ajeno a las ofertas de trabajo falsas. El grupo ha utilizado anteriormente General Dynamics y Lockheed Martin para el mismo propósito.
Lazarus generalmente ataca bancos, intercambios de criptomonedas, mercados NFT y, a veces, personas que se sabe que tienen una bolsa pesada de criptomonedas.
Vía: Bleeping Computer (se abre en una nueva pestaña)
Deja una respuesta