Sophos, a través de su Unidad Contra Amenazas (CTU), ha revelado una alerta sobre una nueva campaña cibercriminal denominada “Entrevista Contagiosa”, llevada a cabo por el grupo conocido como NICKEL ALLEY, que opera en nombre del gobierno de Corea del Norte. Este grupo ha desarrollado un sofisticado método para atraer a profesionales del sector tecnológico mediante la creación de ofertas de empleo falsas. A través de un proceso de entrevista ficticio, logran engañar a los candidatos, quienes terminan por descargar malware en sus sistemas, abriendo la puerta a potenciales ataques cibernéticos.
La táctica utilizada por NICKEL ALLEY incluye la creación de páginas de empresa falsas en redes sociales como LinkedIn, donde aparentemente se presentan como una organización legítima en busca de talento. Además, estos actores de amenazas mantienen cuentas coordinadas en GitHub para la distribución de malware, lo que les permite establecer una fachada creíble. Destaca, además, el uso de la técnica conocida como ClickFix, que facilita la entrega de malware aprovechando evaluaciones de habilidades laborales simuladas. Estas técnicas son una clara muestra del ingenio empleado para evadir estrategias de detección y perpetuar su campaña de ataque.
En el transcurso de su investigación, Sophos ha identificado que NICKEL ALLEY ha adaptado su infraestructura de red para alinearse con sus estrategias de ingenio social, optimizando sus esfuerzos para comprometer sistemas corporativos. El grupo se enfoca en profesionales del sector tecnológico, especialmente aquellos abiertos a trabajos freelance, aumentando el riesgo de que el malware se ejecute en entornos corporativos. Este tipo de ataques no solo pone en peligro la información del individuo, sino que expone a las organizaciones a ataques más amplios, incluyendo el robo de monedas virtuales y posibles violaciones de la cadena de suministro.
Para contrarrestar estas amenazas, Sophos sugiere que las organizaciones implementen monitoreo constante sobre la ejecución de comandos sospechosos, especialmente aquellos relacionados con la combinación de curl, PowerShell y la ejecución de archivos desde el directorio TEMP. Además, es vital que se preste atención a cualquier actividad inusual generada por procesos de Node.js, ya que podrían indicar descargas de malware. En un esfuerzo por aumentar la seguridad, se recomienda a las empresas fomentar una cultura de reporte entre sus empleados respecto a contactos de reclutamiento sospechosos.
Sophos se posiciona como líder en ciberseguridad, protegiendo a 600,000 organizaciones en todo el mundo mediante el uso de inteligencia artificial y un enfoque proactivo a la evolución de ciberataques. Sus soluciones abarcan una amplia gama de servicios, desde la detección y respuesta gestionada hasta la seguridad en la nube y amenazas a identidades. Con una infraestructura robusta y una red global de socios, Sophos se compromete a ayudar a las organizaciones a mejorar su resiliencia contra ciberamenazas, promoviendo la preparación ante futuros ataques.
