El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una campaña de ciberataques altamente dirigidos que utilizaban mensajes falsificados de LinkedIn y técnicas de ocultación para evitar ser desenmascarados con el objetivo de conseguir beneficios financieros e información confidencial. Los ataques, denominados por ESET ‘Operación In(ter)ception’ debido a la muestra de malware relacionada de nombre “Inception.dll”, se llevaron a cabo entre septiembre y diciembre del año pasado.
El ataque comenzaba con un mensaje de LinkedIn. “Este mensaje consistía en una oferta de trabajo bastante creíble, procedente de una compañía relevante del sector. El perfil de LinkedIn era falso y los mensajes adjuntos enviados durante la conversación contenían archivos maliciosos”, comenta Dominik Breitenbacher, responsable de la investigación en ESET.
Los mensajes se enviaban directamente a través de un mensaje de LinkedIn o de correo electrónico que contenía un enlace a OneDrive. En el caso de los mensajes de correo electrónico, los atacantes habían creado cuentas de correo que se correspondían con los perfiles falsos de LinkedIn. Una vez que la víctima abría el archivo, un documento PDF aparentemente inofensivo con información salarial sobre la oferta falsa de trabajo, el malware se desplegaba de forma oculta en el dispositivo, con lo que los ciberdelincuentes conseguían entrar, así como persistencia en el sistema. A partir de ese momento, los atacantes utilizaban un malware personalizado multietapa, que en muchas ocasiones se disfraza de software legítimo, y versiones modificadas de herramientas de código abierto. Además, se aprovechaban de una táctica conocida como “living off the land”, que consiste en utilizar herramientas de Windows para desarrollar sus operaciones maliciosas.
