DeceptiveDevelopment: un enfoque cibernético directo para desarrolladores autónomos

Los ciberdelincuentes utilizan sus habilidades bajo la atenta mirada de los reclutadores y los atraen con sus propias conexiones empresariales. ¿Qué mejor momento para entrar en acción que cuando un candidato potencial es despedido por una carrera ajetreada?

Desde principios de 2024, los especialistas de ESET trabajan en un nuevo proyecto dirigido a Corea del Norte. En él, los atacantes actúan como cazatalentos y ofrecen proyectos de software que contienen malware oculto para robar información. ESET denomina a este conjunto de actividades DeceptiveDevelopment.

¿Cómo se analiza DeceptiveDevelopment?

Del análisis de ESET se desprende que DeceptiveDevelopment está siendo atacado por un actor desencadenante norcoreano. Esto se debe a otros factores:

• ESET ha detectado conexiones entre las cuentas de GitHub de los atacantes y cuentas con cv's de valor utilizadas por informáticos norcoreanos. Las conexiones observadas se basan en dos volúmenes diferentes de GitHub, donde el primer volumen estaba vinculado a DeceptiveDevelopment y los otros contenían cv's de valor y más material de los informáticos norcoreanos. La Unidad 42 también se encargó de las conexiones adicionales. Además, se crearon las páginas de GitHub correspondientes para que se pudiera ampliar toda la información material.
• Los avances en las tácticas, técnicas y procedimientos (TTP), como el uso de reclutadores de valores, las operaciones de robo de identidad y el software durante las entrevistas, junto con otras actividades relacionadas con Corea del Norte (Moonstone Sleet y los campamentos DreamJob y DangerousPassword de Lazarus).

Además de las conexiones entre los proveedores de GitHub, el malware utilizado es totalmente seguro. Esto se refleja en los hallazgos de Mandiant, que muestran que el trabajo de estos expertos informáticos norcoreanos es de baja calidad.

Durante la monitorización de DeceptiveDevelopment, ESET ha detectado más casos en los que los autores del malware se han equivocado. En algunos casos, los autores no utilizaron notas de desarrollo o reglas de comentarios con direcciones IP locales que se utilizan para el desarrollo y las pruebas. Además, el malware utiliza herramientas de ofuscación de libre acceso, donde en algunos casos los enlaces a estas herramientas son proporcionados por ongeluk en los comentarios del código.

¿Cómo se utilizan estas herramientas?

Los principales autores de esta campaña de desarrollo engañoso son desarrolladores de software que trabajan en proyectos de criptomoneda y finanzas descentralizadas (DeFi). Los desarrolladores no hacen distinciones en función de la ubicación geográfica e intentan contagiar al mayor número posible de inversores potenciales para aumentar las posibilidades de éxito en la gestión de fondos e información. Hemos utilizado muchos tipos diferentes de software en los tres principales sistemas operativos: Windows, Linux y macOS. Han participado desde desarrolladores noveles que empezaron como autónomos hasta profesionales muy experimentados.

Sólo hemos observado las interacciones entre los desarrolladores y los empleados de la empresa, pero no podemos afirmar con certeza que los desarrolladores no utilicen ninguna herramienta de venta para comunicarse con los empleados que no hablan inglés.

¿Cómo actúan los promotores?

Para actuar como reclutadores, los reclutadores copian perfiles existentes de personas reales o crean personajes completamente nuevos. También contratan directamente a sus empleados potenciales a través de plataformas para empleados y autónomos, o publican allí las vacantes. En la fase inicial, los candidatos utilizaban perfiles globales y se limitaban a vincularlos a través de LinkedIn a proyectos de GitHub relevantes para sus puestos de trabajo deseados. Más tarde, empezaron a utilizar perfiles creados por ellos mismos, con muchos seguidores y conexiones, y extendieron sus actividades a un gran número de sitios web de ofertas de empleo y alojamiento de código. Algunos de estos perfiles son creados por los propios usuarios, mientras que otros son creados por usuarios reales, personalizados por ellos mismos.

Algunas de las plataformas en las que tienen lugar estas interacciones son sitios web de uso general, mientras que otras están destinadas específicamente a proyectos de criptomoneda y blockchain, que se adaptan mejor a las necesidades de los usuarios. Las plataformas utilizadas varían entre otras

• LinkedIn

• Upwork

• Freelancer.com

• Trabajamos a distancia

• Moonlight

• Lista de criptoempleos

El vector más común para comprometerse es que el reclutador correspondiente ofrezca al candidato un proyecto financiado, presumiblemente como una aplicación del programa que debe aceptarse o como un retraso para solucionar un error a cambio de una recompensa económica.

Los miembros del proyecto reciben los archivos del proyecto directamente por transferencia en la plataforma o a través de un enlace a un repositorio como GitHub, GitLab o Bitbucket. Se les pedirá que descarguen los archivos transferidos, comprueben las funciones o corrijan los errores y los comuniquen al responsable de la contratación. Además, se les asigna la responsabilidad de construir el proyecto y prepararlo para las pruebas en el momento en que se produce el primer compromiso.

Los repositorios utilizados son en su mayoría privados, por lo que primero se pedirá al usuario que facilite su ID de cuenta o su dirección de correo electrónico para poder acceder. Esto es necesario para ocultar al público las actividades administrativas.

Gracias a esto, hemos encontrado muchos lugares donde estos repositorios estaban abiertos para su uso. En estos lugares estaban ocupados en su mayoría por estudiantes que, tras completar sus tareas, habían subido los proyectos a sus propios repositorios. Todo el código necesario se comunica a los servicios pertinentes.

Conclusión

DeceptiveDevelopment es un ataque a una estrategia más amplia de las ciberoperaciones norcoreanas para robar criptovalor. La campaña muestra un claro cambio hacia un malware más avanzado y un enfoque más sofisticado para engañar a las víctimas.

Las plataformas de trabajo y autónomos son susceptibles de ser utilizadas indebidamente por reclutadores cualificados. Las tecnologías de las aplicaciones se mejoran constantemente, y es seguro que DeceptiveDevelopment seguirá desarrollándose.

La campaña DeceptiveDevelopment subraya la importancia de:

• Vigilancia de solicitudes de empleo en línea: desconfía de los reclutadores que le piden descargar archivos de fuentes externas. 
• Herramientas de desarrollo avanzadas: Utiliza soluciones de seguridad para endpoints y sandboxing, como las de ESET, para detectar malware.
• Comprobación periódica de perfiles en línea: verifica la fiabilidad de los reclutadores y los sitios de empleo.

ESET sigue estas tres reglas y supervisa a los desarrolladores de software para mantenerse alerta ante ofertas sospechosas y actualizaciones de programas no deseadas.

Detalles técnicos de la aplicación en un cuaderno

Etapa 1: Acceso inicial

Los candidatos crean perfiles de nep-recruiter y publican las vacantes válidas. Los candidatos reciben un proyecto de software informatizado a través de GitHub u otro servicio de alojamiento de código. En algunos casos, también se les anima a descargar software de sitios web populares de herramientas de videoconferencia.

Etapa 2: Infección

con BeaverTail Cuando se ejecuta el código malicioso, BeaverTail se instala y comienza con: Robo de archivos de registro, criptocarteras y archivos del navegador. Descarga del siguiente archivo malicioso, InvisibleFerret.

Etapa 3: Activación de InvisibleFerret

Este segundo programa malicioso contiene algunas características que debes tener en cuenta. Keyloggers y portapapelesniffers para activar. A distancia el control sobre el sistema geïnfecteerde sobre te nemen vía el legitieme beheertool AnyDesk.

Etapa 4: Exfiltración y acceso persistente

InvisibleFerret transferirá todos los dispositivos registrados a un servidor de comando y control (C&C) e instalará AnyDesk para el acceso a largo plazo.