Dada la actual guerra por captar nuevo talento, no es de extrañar que muchos cazatalentos envíen mensajes privados a través de redes sociales como LinkedIn para tantear las intenciones de sus potenciales candidatos. Si hablamos de industrias especialmente sensibles, con muy pocos profesionales capacitados, como la aeroespacial o la militar, esta tendencia es especialmente acusada. Pero el hecho de que sea una práctica extendida también trae consigo un cierta sensación de confianza ante esos mensajes, algo que los ciberdelincuentes no iban a desperdiciar para hacer de las suyas.
Justo eso es lo que ha sucedido en la denominada 'Operación I(ter)ception', desvelada por la firma de seguridad ESET y que tuvo lugar entre septiembre y diciembre del pasado año.
La historia comienza con uno de esos mensajes tan comunes. En él se ofrecía al incauto trabajador del sector aeroespacial o militar un empleo bastante creíble en una compañía relevante del sector. Pero además de la suculenta oferta, el mensaje también traía consigo adjuntos con los que se colaba malware (de la familia de 'Inception.dll') que permitía a los criminales conseguir beneficios financieros e información confidencial.
El funcionamiento es relativamente sencillo, tal y como ha explicado Dominik Breitenbacher, responsable de la investigación en ESET, durante el evento anual de la empresa. Las comunicaciones incluían un enlace a OneDrive, donde se mostraba un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo. La magia negra ocurría tras las cortinas: el malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como persistencia en el sistema.
A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto. Además, se aprovechaban de una táctica conocida como “living off the land”, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas.
"Los ataques que hemos observado muestran todos los signos típicos de una campaña de espionaje y numerosas pistas que los relacionarían con el infame grupo Lazarus”, comenta Breitenbacher. “Sin embargo, ni el análisis del malware ni la investigación nos ha llevado aún a saber qué archivos estaban buscando los delincuentes”.
Además de las técnicas de espionaje, los investigadores de ESET han encontrado pruebas de que los delincuentes estaban intentando conseguir dinero de otras compañías a partir de las cuentas comprometidas. Entre los mails de las víctimas se han encontrado comunicaciones sobre facturas impagadas entre el afectado y sus clientes en las que se urgía al pago a una cuenta propiedad de los ciberdelincuentes. Afortunadamente, en los casos investigados el cliente sospechó del mensaje y contactó con la víctima para confirmar la veracidad del correo, frustrando el intento de los atacantes de conseguir comprometer también a los clientes de la víctima.
Ante esta información, LinkedIn ha facilitado a INNOVADORES la siguiente declaración oficial a cargo de Paul Rockwell, Head of Trust and Safety de la red social: "En LinkedIn buscamos activamente cualquier signo de actividad promovida por el Estado en la plataforma y actuamos rápidamente contra los actores maliciosos para proteger a nuestros miembros. Antes de que nos llegue una petición, nuestro equipo de inteligencia de amenazas elimina las cuentas falsas, usando información descubierta por nosotros y la inteligencia de otras fuentes, entre las que se incluyen las agencias gubernamentales. Nuestros equipos utilizan una variedad de tecnologías automatizadas, combinadas con un equipo de supervisores entrenado y la información de los usuarios, todo ello para mantener a salvo a nuestros miembros de cualquier tipo de amenazas". Sobre este caso en concreto, LinkedIn detalla que "cuando descubrimos casos de abuso que implican la creación de cuentas falsas, tomamos medidas de forma inmediata y restringimos permanentemente tales cuentas".