El equipo de investigación de Palo Alto Networks ha denominado a la primera campaña como "Contagious Interview". Esta recibe dicho nombre porque el actor malicioso intenta infectar a los desarrolladores de software con malware a través de una entrevista de trabajo ficticia. Unit 42 descubrió este tipo de ataque a través de la telemetría de su cliente e indican que comenzó en diciembre de 2022. Parte de la infraestructura que respalda esta campaña permanece activa, y continua siendo una amenaza consistente. El objetivo principal de este ataque era probablemente el robo de criptomonedas y el uso de objetivos comprometidos como entorno de preparación para otros ataques.
Por su parte, Unit 42 denomina a la segunda campaña "Wagemole". En esta los actores maliciosos buscan empleos no autorizados en organizaciones con sede en Estados Unidos y otras partes del mundo. Su intención es la obtención de beneficios económicos y el espionaje. Los investigadores de Palo Alto Networks consideran que Wagemole se trata también de una amenaza patrocinada por Corea del Norte.
Al pivotar sobre los indicadores de Contagious Interview, Unit 42 descubrió archivos expuestos en una infraestructura controlada por otro actor de amenaza. Estos archivos indican una actividad fraudulenta relacionada con la búsqueda de empleo y dirigida a una amplia variedad de empresas estadounidenses. En estos se podían encontrar: currículums y múltiples identidades que suplantaban a personas de diversas naciones, preguntas y respuestas comunes dirigidas a entrevistas de trabajo, guiones para entrevistas y ofertas de empleo de empresas estadounidenses.
Si bien Unit 42 no ha podido determinar el objetivo de las campañas, el Departamento de Justicia de los Estados Unidos y la Oficina Federal de Investigación (FBI) han informado que Corea del Norte utiliza actualmente trabajadores en remoto para canalizar salarios a sus programas de armamento.
A su vez, y durante la investigación de Unit 42, se descubrieron dos nuevas familias de malware denominadas como BeaverTail e InvisibleFerret. BeaverTail es un malware basado en JavaScript oculto dentro de paquetes de Node Package Manager (NPM). Por su parte, InvisibleFerret es un backdoor, simple pero poderosa, basada en Python. Ambos son malware multiplataforma que pueden ejecutarse en Windows, Linux y macOS.
Los clientes de Palo Alto Networks reciben protección contra el malware a través de su Firewall de última generación con servicios de seguridad entregados en la Nube, que incluyen WildFire Avanzado, Seguridad DNS y Filtrado de URL Avanzado.
Tu opinión enriquece este artículo: