LinkedIn, red social orientada al uso empresarial, suma 17 millones de usuarios en España, según datos de Statista de 2023, algo que los ciberdelincuentes tienen en cuenta para aprovecharse de las ganas de conseguir empleo en la red social y son muchas las formas con las que pueden engañar a los usuarios.
Una de ellas son las ofertas falsas de trabajo y un hacker iraní ha tomado el ejemplo de unos piratas informáticos elaborando su propia versión de la campaña llamada ‘Dream Job’ (Trabajo soñado) dirigida a la industria aeroespacial para distribuir un malware a los usuarios de LinkedIn.
Así es el malware que amenaza a los usuarios de LinkedIn
Según la compañía de ciberseguridad israelí ClearSky, un hacker iraní conocido como TA455, ha imitado dicha campaña que ofrece trabajos falsos de industria aeroespacial desde, al menos, septiembre de 2023. Comentan que TA455 forma parte de un colectivo de hackers al que se le atribuyen una serie de campañas dirigidas a la industria aeroespacial, de aviación y de defensa en Medio Oriente, incluidos Israel, los Emiratos Árabes Unidos, Turquía, India y Albania.
Tal y como informan desde The Hackers News, los ataques implican el uso de tácticas de ingeniería social que emplean señuelos relacionados con el trabajo para introducir dos puertas traseras denominadas MINIBIKE y MINIBUS. De hecho, la empresa de seguridad empresarial Proofpoint asegura que utilizan empresas fachada para relacionarse con las víctimas a través de una página de contacto de LinkedIn.
Las cadenas de ataque utilizan sitios web de reclutamiento falsos y perfiles de LinkedIn para distribuir un archivo ZIP que, entre otros archivos, contiene un ejecutable ('SignedConnection.exe') y un archivo DLL malicioso ('secur32.dll') que se carga cuando se ejecuta el archivo EXE. También proporcionan una guía detallada en PDF a sus víctimas para instruirlas sobre cómo descargar de forma segura el archivo ZIP del sitio de publicación de empleo falso e iniciar la aplicación.
Desde Microsoft afirman que es un cargador de troyanos llamado SnailResin, que se encarga de cargar Slug Resin como puerta trasera, lo que hace que los ciberdelincuentes puedan implementar el malware para robar credenciales, diferentes datos e información y moverse a otros dispositivos en la red. Los ataques también se caracterizan por el uso de GitHub como un solucionador de punto muerto, lo que permite ocultar las operaciones maliciosas y mezclarse con el tráfico legítimo.