ESET identificó ataques en los que se utilizan correos de phishing con falsas propuestas de trabajo.
ESET Latinoamérica detectó ataques por parte del grupo Lazarus, en donde utilizan correos de phishing relacionados a falsas ofertas de trabajo. Dicha campaña dio inicio con correos electrónicos de spearphishing con documentos maliciosos e imágenes de la empresa Amazon.
En total se detectaron dos correos, uno a un empleado de una empresa aeroespacial y el otro a un periodista político. En ambos acercamientos los atacantes tenían como objetivo extraer datos sensibles.
Lazarus (también conocido como HIDDEN COBRA) es un grupo que ha estado activo desde al menos 2009. Es responsable de ataques a compañías de alto perfil, como fue el robo de decenas de millones de dólares en 2016, así como el brote del ransomware WannaCryptor (también conocido como WannaCry) en 2017 y un largo historial de ataques disruptivos contra infraestructura crítica y pública de Corea del Sur desde al menos 2011.
Le puede interesar: Kaspersky lanzó herramienta contra amenazas en endpoints
En este nuevo intento, el ataque comenzó por medio de ofertas laborales donde el empleado de la empresa aeroespacial recibió un archivo adjunto por medio de LinkedIn Messaging y el periodista recibió un documento mediante correo electrónico. Los ataques comenzaron después de que se abrieron estos adjuntos y se desplegaron varias herramientas maliciosas en cada sistema.
Una de las herramientas utilizadas por los atacantes fue un módulo de modo de usuario el cual les permitió leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo. Cabe destacar que este es el primer caso registrado de explotación de esta vulnerabilidad en una campaña.
Seguido a esto, los atacantes utilizaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows con el objetivo de monitorear sus acciones como el registro, sistema de archivos, creación de procesos y seguimiento de eventos. Dichas acciones lograron cegar las soluciones de seguridad de una manera robusta.
“La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como el hecho de llevar adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y búsqueda de ganancias financieras”, menciona Peter Kálnai, Senior Malware Researcher de ESET.