Los investigadores de ESET han identificado una nueva campaña de ciberataques dirigida a desarrolladores de software freelance, en la que los atacantes, haciéndose pasar por reclutadores, utilizan ofertas de trabajo falsas para distribuir malware mediante spearphishing en plataformas de búsqueda de empleo y trabajo autónomo. Esta operación, bautizada como DeceptiveDevelopment, tiene como objetivo robar credenciales de inicio de sesión y monederos de criptomonedas a través de proyectos de software infectados. Si bien las actividades observadas están alineadas con tácticas previamente asociadas a Corea del Norte, hasta el momento ESET no ha atribuido la campaña a ningún grupo de amenazas conocido.
«Como parte de un falso proceso de entrevista de trabajo, los operadores de DeceptiveDevelopment solicitan a sus objetivos que realicen una prueba de programación, como agregar una función a un proyecto existente. Los archivos necesarios para la tarea suelen estar alojados en repositorios privados en GitHub u otras plataformas similares. Lamentablemente, para el candidato entusiasmado por la oportunidad, estos archivos están troyanizados: una vez que descarga y ejecuta el proyecto, su ordenador queda comprometido», explica Matěj Havránek, investigador de ESET que descubrió y analizó la operación DeceptiveDevelopment.
Las tácticas, técnicas y procedimientos de DeceptiveDevelopment son similares a los de otras operaciones conocidas alineadas con Corea del Norte. Los atacantes detrás de esta campaña utilizan falsas ofertas de empleo para atacar a desarrolladores de software en Windows, Linux y macOS con el objetivo principal de robar criptomonedas, aunque también podría tener fines de ciberespionaje. Haciéndose pasar por reclutadores en redes sociales, no se limitan a una región geográfica específica, sino que buscan maximizar el número de víctimas para aumentar sus posibilidades de éxito en la extracción de fondos e información.
Para comprometer los dispositivos, la campaña emplea dos tipos de malware en distintas fases, según los investigadores de ESET. En la primera, BeaverTail, un infostealer y downloader, roba credenciales almacenadas en navegadores y descarga el malware de la segunda etapa. En la segunda, InvisibleFerret, un infostealer y troyano de acceso remoto (RAT), permite a los atacantes mantener el control del sistema comprometido y desplegar herramientas adicionales como el software legítimo de gestión remota AnyDesk, facilitando su acceso para llevar a cabo actividades posteriores al compromiso del dispositivo.
