Un subgrupo de la organización de hackers Lazarus, vinculada a Corea del Norte, creó tres empresas fantasma, dos de ellas en Estados Unidos, para distribuir malware a usuarios desprevenidos.
Las tres empresas falsas de consultoría de criptomonedas -BlockNovas, Angeloper Agency y SoftGlide- están siendo utilizadas por el grupo de hackers norcoreano Contagious Interview para distribuir malware a través de falsas entrevistas de trabajo, según afirman los analistas de amenazas de Silent Push en un informe del 24 de abril.
El analista principal de amenazas de Silent Push, Zach Edwards, declaró a X el 24 de abril que las dos empresas fantasma están registradas como negocios legítimos en Estados Unidos.
"Estos sitios web y una enorme red de cuentas en sitios web de contratación / reclutamiento se están utilizando para engañar a la gente para que solicite puestos de trabajo", dijo.
"Durante el proceso de solicitud de empleo se muestra un mensaje de error cuando alguien intenta grabar un vídeo de presentación. La solución es un truco fácil de copiar y pegar, que conduce a malware si el incauto desarrollador completa el proceso".
Según Silent Push, se están utilizando tres tipos de malware: BeaverTail, InvisibleFerret y Otter Cookie.
BeaverTail es un malware diseñado principalmente para el robo de información y para cargar otras fases de malware. OtterCookie e InvisibleFerret atacan principalmente información sensible, como claves de criptomonederos y datos del portapapeles.
Los analistas de Silent Push afirman en el informe que los hackers utilizan las listas de empleo de GitHub y los sitios web de autónomos para buscar víctimas, entre otros.
Utilizan la IA para crear falsos empleados
La artimaña también implica que los hackers utilizan imágenes generadas por IA para crear perfiles de empleados para las tres criptoempresas de fachada y robar imágenes de personas reales.
"En esta red se utilizan numerosos empleados falsos e imágenes robadas de personas reales. Hemos documentado algunas de las falsificaciones obvias e imágenes robadas, pero es muy importante apreciar que los esfuerzos de suplantación de identidad de esta campaña son diferentes", dijo Edwards.
“En uno de los ejemplos, los actores de la amenaza tomaron una foto real de una persona real, y luego parecían haberla pasado por una herramienta de modificación de imágenes de IA para crear una versión sutilmente diferente de esa misma imagen.”
Esta campaña de malware ha estado en curso desde 2024. Edwards dice que hay víctimas públicas conocidas.
Silent Push identificó a dos desarrolladores atacados por la campaña; según los informes, uno de ellos vio comprometida su billetera MetaMask.
Desde entonces, el FBI ha cerrado al menos una de las empresas.
"La Oficina Federal de Investigación (FBI) adquirió el dominio Blocknovas, pero Softglide todavía está vivo, junto con algunas de sus otras infraestructuras", dijo Edwards.
Al menos tres fundadores de criptomonedas informaron en marzo que habían frustrado un intento de supuestos hackers norcoreanos de robar datos confidenciales a través de falsas llamadas de Zoom.
Grupos como Lazarus Group son los principales sospechosos de algunos de los mayores robos cibernéticos de Web3, entre ellos el de Bybit, valorado en 1.400 millones de dólares, y el de la red Ronin, por un valor de 600 millones.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
