Tenga cuidado al abrir el CV de la solicitud de empleo de 'Le Xuan Son'

Hay una nueva campaña de ciberataques dirigida a empresas en Vietnam. Foto ilustrativa: Bloomberg.

Investigadores de seguridad de SEQRITE Labs han descubierto una sofisticada campaña de ciberataque. Denominada "Operación Ladrón de Hanói", la campaña ataca a departamentos de TI y agencias de contratación en Vietnam mediante la suplantación de currículos.

Descubierto por primera vez el 3 de noviembre, los hackers utilizaron la técnica de propagar malware camuflándolo como un CV de una solicitud de empleo. El objetivo de los atacantes era infiltrarse en la red interna, tomar el control del sistema y robar datos de clientes y secretos comerciales.

Cómo funciona el malware

Según expertos en seguridad, el atacante envió una serie de correos electrónicos con solicitudes de empleo, adjuntando el archivo "Le Xuan Son CV.zip". Al descomprimirlo, contenía dos archivos: uno llamado "CV.pdf.lnk" y el otro "offsec-certified-professional.png".

Al estar camuflado como un icono PDF y PNG, los usuarios podrían confundirlo con un archivo CV normal. Al hacer clic, el archivo activa el virus LOTUSHARVEST, especializado en recopilar información de contraseñas e historial de acceso, para luego enviarla al servidor del hacker.

Según GBHackers , el CV falso llamado Le Xuan Son de Hanoi tiene una cuenta de GitHub desde 2021. Sin embargo, los investigadores descubrieron que esta cuenta no publicó ninguna información, probablemente solo para servir a la campaña de ataque.

El ataque se desarrolla en tres etapas. Tras abrir el archivo LNK, se ejecuta un comando especial mediante la herramienta ftp.exe integrada en Windows. Esta es una técnica antigua y ya no tan común que permite al malware eludir los controles básicos.

Hackers engañan a empresas enviando currículums bajo el nombre "Le Xuan Son". Foto: SEQRITE .

En la fase 2, el sistema sigue siendo engañado, haciéndole creer que se trata de un archivo PDF o de texto sin formato. Sin embargo, tras un análisis más profundo, los investigadores descubrieron que el código malicioso se insertó oculto antes del inicio del archivo PDF.

El malware actuó de inmediato, renombrando la herramienta certutil.exe disponible en Windows para evitar ser detectado y extrayendo los datos que contenían el paquete final de archivos maliciosos. La línea de comandos continuó renombrando el archivo a "CV-Nguyen-Van-A.pdf" para engañar al sistema. Luego, extrajo y descifró un archivo llamado "MsCtfMonitor.dll", colocándolo en la carpeta C:\ProgramData.

Al copiar el archivo ctfmon.exe de System32 a la misma carpeta, el atacante explotó la técnica de secuestro de DLL, haciendo que el sistema ejecutara el archivo malicioso en lugar del programa normal.

Finalmente, el malware LOTUSHARVEST se activa para robar información. Estos datos incluyen la información de inicio de sesión en los navegadores Chrome y Edge, junto con las 20 URL visitadas más recientemente, incluyendo metadatos relacionados.

Los datos robados se transmiten a través de la API WinINet de Windows a la infraestructura del hacker. El software también agrega el nombre de la computadora y el nombre de usuario para crear un perfil de identidad en el servidor.

Las empresas vietnamitas necesitan fortalecer la protección

El punto preocupante de la campaña de ataque es que LOTUSHARVEST tiene la capacidad de ocultarse y operar de forma autónoma. El malware aprovecha el mecanismo de carga de la biblioteca para mantener el control a largo plazo y acceder a cuentas y datos confidenciales, más allá de la protección de las medidas de seguridad convencionales.

Según la evaluación, los datos robados pueden convertirse en la "clave" para que los piratas informáticos amplíen su penetración, desplieguen herramientas peligrosas y conviertan a las empresas en objetivos de ataques de múltiples capas o extorsión en las siguientes etapas.

“Todo indica que la campaña del Ladrón de Hanoi fue planeada meticulosamente y apuntaba directamente a empresas vietnamitas.

"Aprovechándose del departamento de contratación, que recibe periódicamente solicitudes externas pero no está totalmente capacitado en materia de ciberseguridad, los piratas informáticos utilizan archivos falsos en forma de CV o documentos y pueden transformarse continuamente en muchas variaciones, lo que hace que el riesgo de infección sea impredecible", dijo el Sr. Nguyen Dinh Thuy, experto en análisis de malware de Bkav.

Los scripts extraen el historial de inicio de sesión y acceso del malware. Foto: SEQRITE .

Según Bkav, varias empresas vietnamitas han sido víctimas de la campaña de ataques. Debido a la peligrosidad de LOTUSHARVEST y la campaña Hanoi Thief, los usuarios deben ser extremadamente precavidos con los documentos recibidos por correo electrónico.

Las empresas y organizaciones deben impartir formación periódica a sus empleados, concienciarlos y mantenerlos alerta contra las estafas en línea. Es necesario reforzar los sistemas de monitorización interna, monitoreando bibliotecas inusuales o archivos sospechosos.

Las herramientas predeterminadas del sistema operativo solo cubren las necesidades básicas de protección, pero no son suficientes para combatir el malware y los virus modernos que pueden ocultarse, persistir durante mucho tiempo y penetrar profundamente en el sistema. Por lo tanto, es necesario instalar un sistema de monitoreo de correo electrónico y usar un software antivirus con licencia para obtener la mejor protección.

Fuente: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html