I nord coreani della cyber gang UNC2970 hanno attivato una nuova campagna malevola su LinkedIn, cercando di indurre le potenziali vittime ad aprire payload di phishing camuffati da finte offerte di lavoro: il target di questa nuova truffa sono gli specialisti della sicurezza informatica localizzati prevalentemente in occidente.
Indice degli argomenti
Malware nascosti in finte offerte di lavoro su LinkedIn
La campagna malevola del gruppo UNC2970 è stata scoperta da Mandiant, società di sicurezza informatica di Google. Finora il gruppo criminale era stato individuato quasi unicamente in campagne contro target sud-coreani, mentre con questa operazione esce dai propri confini d’azione e si rivolge al mondo della sicurezza informatica occidentale.
La campagna è attiva almeno dal mese di giugno 2022, affermano i ricercatori.
Il tentativo è quello di invogliare le vittime ad aprire un payload di phishing camuffato da offerta di lavoro o valutazione delle proprie competenze. Si tratta principalmente di un file Microsoft Word con macro che, se abilitate, fanno emergere il download malevolo che viene depositato nel computer della vittima.
I server C2 (comando e controllo) utilizzati per la distribuzione dei malware, sono stati individuati per la maggior parte in installazioni di WordPress compromesse.
I falsi profili impersonano ricerche di personale di noti brand come il New York Times per iniziare un dialogo con le vittime prese di mira. I criminal hacker convincono le vittime a spostare la conversazione da LinkedIn a WhatsApp e inducono ulteriormente i loro obiettivi a scaricare un file ZIP dannoso.
Gli account LinkedIn che propongono le finte offerte di lavoro sono “ben progettati e curati professionalmente per imitare le identità degli utenti legittimi”, afferma Mandiant.
Abilitando il file con macro, viene scaricato il malware che è stato denominato dai ricercatori LidShift. A questo punto LidShift carica altri payload di diversa natura per stabilire un punto d’appoggio nella rete, eseguire il keylogging e tentare di comunicare con i server di comando e controllo.
In questa fase, come server C2 sono stati individuati servizi abusati di Microsoft InTune con i quali caricare script PowerShell personalizzati contenenti codice dannoso in vari host nell’ambiente client.
Come evitare di far parte della “rete compromessa”
Negli ultimi anni, i criminali informatici hanno iniziato a utilizzare sempre più spesso i social network per diffondere malware e rubare informazioni personali e finanziarie. Una delle piattaforme che sta diventando sempre più popolare per questo tipo di attacchi è LinkedIn, il social network professionale più grande al mondo.
In particolare, i criminali creano falsi profili LinkedIn che sembrano appartenere a persone reali, spesso con titoli di lavoro prestigiosi come CEO, CFO o responsabile delle risorse umane. Questi profili vengono utilizzati per contattare altre persone su LinkedIn, spesso lavoratori di aziende di grandi dimensioni o funzionari governativi, e offrire loro opportunità di lavoro o partnership commerciali allettanti.
Tuttavia, l’obiettivo di questi criminali non è quello di fare affari legittimi, ma di diffondere malware o rubare informazioni sensibili. In alcuni casi, i criminali possono inviare ai loro contatti un link a un sito web malevolo o a un documento infetto. Una volta che la vittima clicca sul link o apre il file, il malware si installa sul suo computer e comincia a rubare informazioni personali, come nomi utente e password, o a bloccare il sistema operativo.
In altri casi, i criminali possono utilizzare i falsi profili LinkedIn per raccogliere informazioni personali o finanziarie dalle loro vittime. Ad esempio, possono fingere di essere interessati a un’offerta di lavoro e chiedere alla vittima di inviare il proprio curriculum vitae o di fornire informazioni sul proprio background lavorativo. Queste informazioni possono poi essere utilizzate per compiere frodi o rubare l’identità della vittima.
Per evitare di cadere vittima di questi attacchi, è importante prendere alcune precauzioni quando si utilizza LinkedIn. In primo luogo, è importante verificare sempre l’identità delle persone che ci contattano su LinkedIn, soprattutto se offrono opportunità di lavoro o partnership commerciali allettanti. Verificate se il profilo LinkedIn dell’utente ha una foto del profilo autentica e una descrizione del lavoro coerente con il suo titolo professionale.
In secondo luogo, è importante non cliccare su link sospetti o scaricare file da persone sconosciute su LinkedIn. Se si riceve un link o un allegato da un contatto LinkedIn che non si conosce, è meglio evitare di aprirlo o di scaricarlo finché non si è sicuri della sua legittimità.
