Encontrar un nuevo trabajo es difícil, y es aún más complicado conseguir uno que se adapte a su conjunto de habilidades, sus ambiciones y su patrón de trabajo. Si está en la industria de la tecnología, responder al anuncio de trabajo incorrecto puede hacer que arriesgue su propia seguridad y la de sus empleadores actuales, gracias a las aplicaciones de código abierto pirateadas que contienen el malware ZetaNile. Esto es lo que necesita saber
¿Por qué están en riesgo los solicitantes de empleo?
El grupo de piratería criminal norcoreano patrocinado por el estado, Lazarus, está apuntando a los trabajadores en las áreas de tecnología, defensa y entretenimiento de los medios. con ataques de spear phishing sobre Linkedin.
De acuerdo a Centro de inteligencia de amenazas de Microsoft (MSTIC), los delincuentes, también conocidos como ZINC, se hacen pasar por reclutadores, se acercan a personas en sectores específicos y los alientan a postularse para puestos vacantes. Después de un proceso de reclutamiento aparentemente normal, las conversaciones se trasladan fuera de la plataforma, antes de que se solicite a los reclutas que descarguen e instalen aplicaciones populares de código abierto como el
Cliente PuTTY SSH, el emulador de terminal KiTTY y TightVNC Viewer.Estas herramientas de código abierto se usan comúnmente en el mundo de la tecnología y están ampliamente disponibles en línea sin costo alguno. cargo, pero las versiones que ofrece Lazarus sobre WhatsApp están pirateadas para facilitar la entrega de programa malicioso
Las aplicaciones se distribuyen como parte de un archivo zip o archivo ISO, y no contienen el malware. En cambio, el ejecutable se conecta a una dirección IP especificada en un archivo de texto adjunto, desde donde se descarga e instala el malware ZetaNile.
Lazarus arma la solicitud de empleo en cada etapa, incluido el formulario de solicitud en sí mismo: se alienta a los solicitantes a completar el formulario utilizando una versión subvertida de Sumatra PDF Reader.
¿Qué es ZetaNile y qué hace?
Una vez que se ha recuperado la puerta trasera de su ubicación remota, se crea una tarea programada, lo que garantiza la persistencia. Luego copia un proceso legítimo del sistema de Windows y carga archivos DLL maliciosos antes de conectarse a un dominio de comando y control.
Desde este punto, un humano real tiene el control de su máquina (lamentablemente, no es usted). Pueden identificar controladores de dominio y conexiones de red, así como abrir documentos, tomar capturas de pantalla y filtrar sus datos. Los delincuentes también pueden instalar malware adicional en el sistema de destino.
¿Qué debe hacer si sospecha que tiene el software malicioso ZetaNile?
Es poco probable que el solicitante de empleo individual se dé cuenta de que ha instalado malware en su red corporativa, pero MSTIC tiene proporcionó algunas instrucciones útiles para los administradores de sistemas y los equipos de seguridad que quedan para recoger los pedazos y limpiar el desorden:
- Comprobar la existencia de Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, o SecurePDF.exe en las computadoras
- Eliminar el C:\ProgramData\Comms\colorui.dll, y %APPDATA%\KiTTY\mscoree.dll archivos
- Bloquear el acceso a la red para 172.93.201[.]253, 137.184.15[.]189, y 44.238.74[.]84. Estas direcciones IP están codificadas en el malware.
- Revise toda la actividad de autenticación para la infraestructura de acceso remoto.
- Habilitar la autenticación multifactor para todos los sistemas.
- Educar a los usuarios sobre la prevención de infecciones de malware, así como sobre la protección de la información personal y comercial.
Este último elemento es especialmente revelador, y el aforismo de que el eslabón más débil en la cadena de suministro de seguridad es el usuario es cierto por una razón. Cualquier problema de software o agujero de seguridad puede solucionarse, pero es difícil evitar que la persona que está detrás del teclado instale paquetes poco fiables, especialmente si se siente tentada por un nuevo trabajo bien remunerado.
Para los usuarios que tienen la tentación de instalar un software incompleto en la computadora de su trabajo: simplemente no lo hagan. En su lugar, pídale a TI que lo haga por usted (le avisarán si algo anda mal), o si es absolutamente necesario, descárguelo de la fuente oficial.
Los delincuentes siempre están buscando una forma de ingresar a las redes
Los secretos corporativos son valiosos y siempre hay personas y grupos que buscan una manera fácil de hacerse con ellos. Al dirigirse a los buscadores de empleo, casi pueden garantizar que la víctima inicial no involucrará a TI: nadie quiere ser visto solicitando nuevos trabajos desde la computadora de su trabajo. Si está utilizando el equipo de sus empleadores, solo debe usarlo para trabajar. Guarda la búsqueda de empleo para cuando llegues a casa.
