Los ciberdelincuentes se apoyan en falsas ofertas y mensajes falsos a través de LinkedIn en una nueva campaña

LinkedIn es una red social profesional muy útil, no solo para encontrar trabajo, sino también para establecer relaciones con personas de tu sector o con las que hayas trabajado en el pasado.

Con el paso del tiempo se ha ido convirtiendo en una herramienta fundamental en el mundo profesional, tanto es así que si no estás en LinkedIn no existes para muchas personas que podrían estar interesadas en tu perfil.

Pero no es oro todo lo que reluce y tenemos que estar atentos a las malas praxis que, como en todas las plataformas virtuales, a veces se dan también en LinkedIn.

La última de estas amenazas la hemos descubierto gracias al laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea (UE), que ha detectado una campaña de ciberataques que utilizaban mensajes falsificados de ofertas de trabajo para conseguir beneficios financieros e información confidencial.

El laboratorio ha denominado a los mensajes, que se llevaron a cabo entre septiembre y diciembre del año pasado, como ‘Operación In(ter)ception’ debido a la muestra de malware relacionada de nombre “Inception.dll”.

El responsable de la investigación en ESET, Dominik Breitenbacher, explica que el mensaje «consistía en una oferta de trabajo bastante creíble, procedente de una compañía relevante del sector»

Pero, «el perfil de LinkedIn era falso y los mensajes adjuntos enviados durante la conversación contenían archivos maliciosos«.

CAMPAÑA DE ESPIONAJE

Los mensajes se enviaban directamente a través de un mensaje de LinkedIn o de correo electrónico que contenía un enlace a OneDrive.

En el caso de los mensajes de correo electrónico, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn.

Una vez que la víctima abría el archivo, un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, el malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como persistencia en el sistema.

A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto.

Además, se aprovechaban de una táctica conocida como “living off the land”, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas.

Según las investigaciones de Breitenbacher todo apunta a que se trata de una campaña de espionaje, sin embargo, las pesquisas no han logrado averiguar qué archivos estaban buscando los delincuentes.

Además de las técnicas de espionaje, los investigadores de ESET han encontrado pruebas de que los delincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas.

Entre los mails de las víctimas se han encontrado comunicaciones sobre facturas impagadas entre el afectado y sus clientes en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes.

Con todo, según explica ESET en un comunicado, «en los casos investigados el cliente sospechó del mensaje y contactó con la víctima para confirmar la veracidad del correo, frustrando el intento de los atacantes de conseguir comprometer también a los clientes de la víctima».

“Este intento de monetizar el acceso a la red de la víctima debe servir como ejemplo a la hora de ver la necesidad de establecer una defensa sólida contra intrusiones y de formar adecuadamente a los empleados de cualquier organización en ciberseguridad. Una concienciación básica en ciberseguridad ayuda a los trabajadores a conocer y a reconocer las tácticas usadas por los ciberdelincuentes por minoritarias que sean”, concluye Breitenbacher.