Días después de la filtración masiva de datos que golpeó la seguridad de LinkedIn, un grupo de piratería está atacando a usuarios de esta red social profesional a través de ofertas de trabajo falsas. Los atacantes, conocidos como Golden Chicken, consiguen su objetivo a través de un sofisticado troyano de puerta trasera que las víctimas descargan sin saberlo.
Según explican desde la empresa de ciberseguridad eSentire, los piratas utilizan el puesto de trabajo que figura en el perfil de LinkedIn de la víctima. Así, por ejemplo, si el perfil objetivo es el de un "Ejecutivo de cuentas sénior", al abrir la oferta de empleo falsa, se le pedirá que descargue un archivo con el nombre "Ejecutivo de cuentas sénior", más otra información agregada al final para atraer a la víctimas.
Al abrir la oferta de trabajo falsa, la víctima, sin darse cuenta, inicia la instalación de una puerta trasera conocida como "more_eggs". Este malware se aferra a procesos normales del sistema operativo Windows. De esta manera, puede ejecutarse de manera sigilosa, sin que el software antivirus lo detecte. Sin embargo, la distribución a través de LinkedIn es solo el principio del peligro, pues Golden Chickens comercializa este malware a otros piratas informáticos.
La puerta trasera instalada en el ordenador de la víctima puede ser una vía de entrada para otro tipo de malware. Por ejemplo, uno capaz de robar credenciales o recolectar datos bancarios. Además, puede ser utilizado para robar datos. Este tipo de amenazas, al no ser detectadas por los programas de seguridad, son un dolor de cabeza para los equipos de soporte IT de grandes compañías que manejan datos sensibles.
Una amenaza que va más allá de LinkedIn
Golden Chicken es conocido en el mundo de las amenazas informáticas. Estos se dedican a vender el malware ahora descubierto en LinkedIn para que otros atacantes lo ejecuten en diferentes plataformas y con diferentes propósitos. Si bien no han logrado identificar la identidad de quienes están detrás de este "negocio", eSentire afirma que hay evidencia que ha sido utilizado por grupos como FIN6, Cobalt Group y Evilnum.
FIN6 es un grupo de delitos informáticos financieros relacionados a delitos con tarjetas de crédito y venta de estos datos en mercados clandestinos. Evilnum tiene como objetivo a empresas de tecnología financiera. Apuntan a elementos como hojas de cálculo y documentos con listas de clientes, inversiones y operaciones comerciales y credenciales para software de plataformas comerciales. Cobalt Group, por su parte, también tiene como objetivo a las fintech y sus clientes
Por el momento, eSentire no ha logrado identificar qué buscan los atacantes de LinkedIn. Sin embargo, señalan que no es la primera vez que ocurre. En febrero de 2019 detectaron un ataque similar en el que apuntaron a empresas minoristas, de entretenimiento y farmacéuticas.