En un mundo donde la seguridad cibernética es más crucial que nunca, los hackers respaldados por el estado norcoreano han comenzado a hacer de las suyas atacando a usuarios de macOS. Utilizando técnicas astutas que combinan ofertas de trabajo falsas y un método conocido como ClickFix, los atacantes están creando un panorama de amenazas preocupante para los desarrolladores de software.
Estrategias de ataque en auge
Recientemente, investigadores de seguridad de Jamf han identificado la proliferación de ataques que utilizan el método ClickFix.
Este enfoque simula un problema en el sistema del usuario, a menudo recordando a los viejos tiempos de los mensajes emergentes que afirmaban que un virus había infectado su computadora. Sin embargo, en lugar de simplemente alertar sobre un virus, ahora presentan una solución engañosa que, lejos de arreglar el problema, introduce malware en el dispositivo.
El engaño detrás de las ofertas laborales
Los atacantes, que pertenecen a la familia de malware FlexibleFerret, han creado compañías ficticias junto con perfiles de LinkedIn falsos.
A través de una campaña llamada Contagious Interview, buscan atraer a desarrolladores de software mediante anuncios de empleo que parecen legítimos. Muchos desarrolladores, al ser contactados para entrevistas, caen en la trampa sin darse cuenta de que están siendo manipulados.
Una vez que un desarrollador interactúa con el sitio, se le puede pedir que grabe un video a través de una plataforma proporcionada por el supuesto empleador. Sin embargo, si intentan hacerlo, se les informa que la cámara de su dispositivo no está funcionando correctamente.
En ese momento, se les ofrece un comando para el Terminal que, en lugar de solucionar el problema, instala un acceso no autorizado a su sistema.
El funcionamiento del malware
El malware que se introduce en el sistema actúa como una puerta trasera, permitiendo a los atacantes realizar una serie de acciones. Primero, genera un identificador único de la máquina y verifica si ya existe uno similar. Luego, se conecta a un servidor de comandos codificado, desde el cual puede recibir instrucciones.
Estas pueden incluir la recolección de información del sistema, la carga o descarga de archivos, la ejecución de comandos de shell e incluso la extracción de datos de perfiles de Chrome.
Consejos para protegerse
Dada la naturaleza de estos ataques, es crucial que las organizaciones y los usuarios individuales sean cautelosos. Los investigadores advierten que cualquier evaluación de ‘entrevistas’ no solicitadas y las instrucciones para el Terminal deben ser consideradas de alto riesgo. Se recomienda que los usuarios detengan la acción inmediatamente y reporten cualquier intento sospechoso en lugar de seguir las instrucciones.
La creciente amenaza de ciberataques norcoreanos
Esta tendencia no se limita solo a los desarrolladores de macOS, sino que refleja un patrón más amplio de actividad maliciosa por parte de grupos de hackers como Kimsuky y Lazarus. Estos grupos han estado llevando a cabo ataques a nivel global, enfocándose en sectores críticos como el gobierno y la infraestructura.
Recientemente, han comenzado a colaborar para llevar a cabo ataques más coordinados, combinando sus capacidades de espionaje con un enfoque en el robo financiero. Este tipo de ataques no solo busca obtener beneficios económicos, sino también desestabilizar sistemas estratégicos en todo el mundo, lo que demuestra la creciente sofisticación de las amenazas cibernéticas.
El panorama de la seguridad cibernética es cada vez más complejo y peligroso. Con un enfoque en la educación y la prevención, los usuarios pueden protegerse mejor contra estos ataques engañosos y devastadores.
