Nueva campaña de ciberataques a empresas empleando malware embebido en Curriculum enviado por candidatos a puestos de trabajo.
Enviar un currículum para postularse es una acción más que frecuente, incluso atravesando fronteras a través de internet, trabajo remoto en cualquier lugar de país y del mundo es super habitual, pero si un grupo de ciberdelincuentes consigue “inocular” malware dentro de alguno de los CVs comienzan los problemas.
Dice: “Please Find Attached My CV” pero realmente se trata de malspam. Este mensaje se presenta como un CV enviado por una persona interesada en una vacante. El archivo adjunto a este correo electrónico está diseñado para infectar dispositivos con diferentes malwares como por ejemplo: Agent Tesla, More_Eggs, etc. Algunos de ellos polimórficos, cambian su forma, se camuflan modificando su “genética” para esconderse y evitar ser detectado.
De este modo, al abrir un Curriculum Vitae, el usuario sin saberlo abre la puerta para un contagio, con consecuencias como el robo de credenciales de acceso a cuentas de correo electrónico, homebanking o navegadores, información de tarjetas de crédito almacenadas en el historial, robar información confidencial, instalar software no autorizado, encriptar archivos y exigir un rescate o incluso bloquear por completo el acceso a los sistemas de información de una empresa.
Típicamente el correo electrónico indica en el asunto “REQUESTED CV” o texto similar, solicitando también una entrevista. El archivo adjunto infectado se presenta como el Curriculum Vitae del remitente CV-pdf. En general este archivo contiene un ejecutable virulento que, al abrirse, desencadena una cadena de infección, estos malwares son del tipo troyano de acceso remoto (RAT), diseñados para permitir el acceso/control remoto de los dispositivos infectados. Estos troyanos permiten a los ciberdelincuentes lograr varios objetivos, pueden eliminar archivos, descargar y ejecutar programas, cambiar la configuración de Windows y ejecutar comandos de Shell, estableciendo una conexión entre una máquina comprometida y el atacante. El malware intenta obtener información sobre las medidas de seguridad implementadas, reglas del firewall y antivirus, obtiene información detallada sobre el sistema operativo y hardware, la versión, parches, puede buscar archivos de interés y datos confidenciales para configurar una exfiltración.
Otros formatos a prestar atención, tanto en inglés como su traducción, español y portugués; “Interested In Buying From You”, “Payment Remittance Advice”, “Statement Of Account (SOA)”, y “Pending Payment” son sólo algunos ejemplos de malspam.
Sin embargo, hay que tener en cuenta que el malware prolifera utilizando diversos métodos. Por ello, aconsejamos descargar software sólo de canales oficiales y verificados. El software debe instalarse y actualizarse utilizando funciones y herramientas legítimas, ya que las herramientas de activación ilegales (“cracks”) y las actualizaciones de terceros pueden contener malware.
Recomendamos dar especial atención a los correos electrónicos entrantes y otros mensajes, archivos adjuntos o enlaces presentes en correos dudosos/irrelevantes no deben abrirse. Es fundamental estar alerta al navegar, ya que los contenidos falsos y peligrosos en línea suelen parecer corrientes e inofensivos.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |