Los atacantes utilizan ingeniería social para convencer a los objetivos a iniciar conversaciones en WhatsApp, donde despliegan un malware que abre una puerta trasera. Así, los atacantes ya tienen una vía de ataque al equipo comprometido.
Según Mandiant, que ha estado siguiendo a este grupo desde 2022, ha encontrado los patrones de estos ataques y ha encontrado la atribución al grupo norcoreano «Lazarus». En dichos ataques se han detectado los malware «Touchmove», «sideshow» y «touchshift».
Estos ataques se lanzan mediante publicaciones en la red social LinkedIn, en ofertas de trabajo. Los atacantes se hacían pasar por recultadores. En una de las partes del proceso de selección, se le pide al usuario contactar por WhatsApp para continuar el proceso.
Es allí cuando se comparte un documento de Word que contiene internamente el archivo malicioso oculto en una de las macros. Dicho malware se encarga en primera instancia de desactivar las protecciones antivirus.
No es la primera vez que se realizan ataques de este tipo, es especialmente curioso que el objetivo de los criminales sean investigadores de seguridad que, probablemente, estén buscando trabajo en otras compañías.
Fuente: Bleeping Computer