Dos campañas de malware de Corea del Norte contra Estados Unidos
- Actualidad
Palo Alto Networks ha informado de dos campañas activas de malware, bautizadas como Contagious Interview y Wagemole, que tienen como objetivo a Estados Unidos y que la empresa vincula a atacantes relacionados con Corea del Norte.
Unit 42, el equipo de investigación de Palo Alto Networks, ha presentado un informe en el que aporta pruebas de dos intentos todavía activos de “actores maliciosos norcoreanos contra empresas estadounidenses”. Las dos campañas, bautizadas por la compañía como Contagious Interview y Wagemole, se dirigen a actividades de búsqueda de empleo.
Contagious Interview intenta infectar los equipos de desarrolladores de software con un malware a través de una entrevista de trabajo ficticia. Este ataque se descubrió en diciembre del año pasado, a través de la telemetría de un cliente de Palo Alto, pero parte de la infraestructura que respaldaba esa campaña permanece activa, por lo que Unit 42 considera que sigue siendo una amenaza consistente. Al parecer, el objetivo del ataque era el robo de criptomonedas, así como el uso de objetivos comprometido como preparación para ulteriores ataques.
En cuanto a Wagemole, en esta campaña los atacantes buscan empleos no autorizados en organizaciones de Estados Unidos y otras partes del mundo. Unit 42 señala que su objetivo es tanto la búsqueda de beneficios económicos como el espionaje. Igual que con Contagious Interview, los investigadores también consideran que se trata de una amenaza “patrocinada” por Corea del Norte.
Durante el curso de la investigación, Unit 42 descubrió archivos expuestos de una infraestructura controlada por un tercer actor, que “indican una actividad fraudulenta relacionada con la búsqueda de empleo y dirigida a una amplia variedad de empresas estadounidenses. En estos se podían encontrar: currículums y múltiples identidades que suplantaban a personas de diversas naciones, preguntas y respuestas comunes dirigidas a entrevistas de trabajo, guiones para entrevistas y ofertas de empleo de empresas estadounidenses”.
En todo el proceso, Unit 42 también identificó dos nuevas familias de malware, que han dado en llamar InvisibleFerret y BeaverTail, capaces de ejecutarse en Windows, Linux o macOS. InvisibleFerret es una puerta trasera, “simple pero poderosa”, que se basa en Python, mientras que BeaverTail es un malware basado en JavaScript que se oculta dentro de paquetes de Node Package Manager (NPM).
