{"id":17626,"date":"2022-10-10T13:00:00","date_gmt":"2022-10-10T20:00:00","guid":{"rendered":"https:\/\/www.lomixto.com\/blog\/?p=17626"},"modified":"2022-10-10T02:54:06","modified_gmt":"2022-10-10T09:54:06","slug":"eset-descubre-campana-de-robo-de-informacion-que-utiliza-una-falsa-oferta-de-trabajo-de-amazon","status":"publish","type":"post","link":"http:\/\/www.lomixto.com\/blog\/articulos\/knowledge\/17626\/","title":{"rendered":"ESET descubre campa\u00f1a de robo de informaci\u00f3n que utiliza una falsa oferta de trabajo de Amazon"},"content":{"rendered":"\n

ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 <\/strong>ataques del grupo Lazarus contra objetivos en Pa\u00edses Bajos y B\u00e9lgica en los que se han utilizado correos de phishing especialmente dirigidos relacionados a falsas ofertas de trabajo.<\/p>\n\n\n\n

La campa\u00f1a comenz\u00f3 con correos electr\u00f3nicos de spearphishing que conten\u00edan documentos maliciosos y que utilizaban la imagen de Amazon. Los correos identificados estaban dirigidos a un empleado de una empresa aeroespacial en Pa\u00edses Bajos y a un periodista pol\u00edtico en B\u00e9lgica. El objetivo principal de los atacantes era la exfiltraci\u00f3n de datos. Lazarus (tambi\u00e9n conocido como HIDDEN COBRA) es un grupo de APT que ha estado activo desde al menos 2009. Es responsable de ataques a compa\u00f1\u00edas de alto perfil, como fue el robo de decenas de millones de d\u00f3lares en 2016<\/a>, tambi\u00e9n del brote del ransomware WannaCryptor (tambi\u00e9n conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra Infraestructura cr\u00edtica y p\u00fablica de Corea del Sur desde al menos 2011<\/a>.<\/p>\n\n\n\n

En ambos casos el contacto comenz\u00f3 a trav\u00e9s de ofertas de trabajo:<\/strong> el empleado en los Pa\u00edses Bajos recibi\u00f3 un archivo adjunto a trav\u00e9s de LinkedIn Messaging y la persona en B\u00e9lgica recibi\u00f3 un documento por correo electr\u00f3nico<\/strong>. Los ataques comenzaron despu\u00e9s de que se abrieron estos documentos y se desplegaron varias herramientas maliciosas en cada sistema. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 1. Documento con el logo de Amazon enviado al blanco apuntado en Pa\u00edses Bajos<\/em><\/p>\n\n\n\n

La herramienta m\u00e1s interesante que utilizaron los atacantes fue un m\u00f3dulo de modo de usuario que les permiti\u00f3 la habilidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551<\/a> en un controlador Dell leg\u00edtimo. Este es el primer caso registrado de explotaci\u00f3n de esta vulnerabilidad en una campa\u00f1a. Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creaci\u00f3n de procesos, el seguimiento de eventos, etc., b\u00e1sicamente cegando las soluciones de seguridad de una manera robusta.<\/p>\n\n\n\n

\u201cAtribuimos estos ataques a Lazarus con mucha confianza a partir de los m\u00f3dulos espec\u00edficos, el certificado de firma de c\u00f3digo y el enfoque de intrusi\u00f3n en com\u00fan con campa\u00f1as anteriores de Lazarus, como <\/em>Operation In(ter)ception<\/em><\/a> y <\/em>Operation DreamJob<\/em><\/a>. La diversidad, el n\u00famero y la excentricidad en la implementaci\u00f3n de las campa\u00f1as de Lazarus definen a este grupo, as\u00ed como el hecho de lleva adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y b\u00fasqueda de ganancias financieras.\u201d, <\/em>menciona Peter K\u00e1lnai, <\/strong>Senior Malware Researcher de ESET.<\/p>\n\n\n\n

Esta investigaci\u00f3n se present\u00f3 en la conferencia Virus Bulletin<\/a> de este a\u00f1o. Debido a su originalidad, el enfoque principal de la presentaci\u00f3n estuvo en el componente malicioso utilizado en este ataque que utiliza la t\u00e9cnica Bring Your Own Vulnerable Driver (BYOVD) y aprovecha la vulnerabilidad CVE-2021-21551 mencionada anteriormente. Informaci\u00f3n m\u00e1s detallada est\u00e1 disponible en el white paper Lazarus & BYOVD: Evil to the Windows core<\/a>.<\/p>\n\n\n\n

Para acceder al an\u00e1lisis t\u00e9cnico completo<\/a> de cada uno de los componentes y herramientas utilizados por Lazarus ingrese a: Amazon-themed campaigns of Lazarus in the Netherlands and Belgium<\/a>.<\/em><\/p>\n\n\n\n

Para conocer m\u00e1s sobre seguridad inform\u00e1tica ingrese al portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2022\/09\/30\/ataque-grupo-lazarus-belgica-paises-bajos-falsa-oferta-trabajo-amazon\/<\/a><\/p>\n\n\n\n

Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: <\/p>\n\n\n\n

\n