29 de diciembre de 2024

¡Atención! Cada vez es más frecuente que las empresas reciban CV maliciosos para robar información

¡Atención! Cada vez es más frecuente que las empresas reciban CV maliciosos para robar información
  • El éxito de las campañas de propagación de malware muchas veces depende del vector de ataque usado y, en el caso de que este sea el correo electrónico, de cómo de convincente resulte para el destinatario.
  •  Muchas veces influye también el momento en el que se envíe uno de estos correos o la situación de la persona o empleado que lo reciba, algo que los delincuentes saben explotar bien.

A día de hoy, no es extraño que recibamos en nuestra cuenta de correo corporativa los currículums de gente que busca empleo. Es cada vez más habitual que los candidatos actúen de forma proactiva y se lancen en busca de nuevas oportunidades laborales, contactando con aquellas empresas que les interesen o que dispongan de una plaza vacante donde puedan encajar. 

Por ese motivo, encontrarnos en nuestra bandeja de entrada con un correo como el que vemos a continuación ya no nos resulta extraño, e incluso es posible que al departamento de recursos humanos le resulte interesante en caso de estar buscando un perfil de esas características.

 

Currículum

La redacción del correo no es especialmente mala y podría pasar por uno legítimo ante los ojos de la mayoría de usuarios. En el cuerpo del mensaje vemos como se hace mención al fichero adjunto, fichero que viene en formato IMG pero que, en realidad, contiene un archivo ejecutable con un código malicioso en su interior.

Currículum

En el caso de que un usuario ejecute este fichero pensando que se trata de un documento conteniendo un currículum, se iniciará una cadena de infección con un comando PowerShell y siguiendo con la configuración de una tarea programada. La finalidad de este malware mediante esta ejecución es conseguir persistencia en el sistema infectado para que los atacantes puedan acceder a él remotamente cuando así lo deseen y, principalmente, proceder al robo de información confidencial.

Estamos ante una de las amenazas más habituales dentro de lo que se conoce como infostealers o ladrones de información, como son las herramientas de control remoto o RATs. Si bien existen herramientas de este tipo que se utilizan de forma legal para ofrecer, por ejemplo, soporte técnico remoto, desde hace unos años los delincuentes vienen desarrollando sus propias versiones de estas herramientas para infectar, principalmente, ordenadores conectados a una red corporativa.

En este caso, estamos ante una RAT maliciosa de la familia NanoCore, una vieja conocida junto a otras familias como Agent Tesla o Formbook. El uso de estas amenazas ha aumentado considerablemente durante los últimos años y se usan para robar credenciales que puedan ser usadas en ataques posteriores a esa u otras empresas. Así mismo, al tener acceso remoto a los equipos infectados, los delincuentes no solo pueden robar información almacenadas en ellos, sino usarla para sus propios fines.

Al tratarse de un malware conocido, se puede analizar el tráfico que realiza y si se está utilizando un servidor de comunicación controlado directamente por los delincuentes o se trata de uno legítimo que ha sido previamente comprometido, como parece ser este caso.

Currículum

Precisamente, el análisis del tráfico que se establece por parte del malware una vez ha infectado el sistema y los servidores suele servir para identificar qué tipo de amenaza estamos analizando, ya que varias de ellas utilizan puertos de comunicación y paquetes con ciertas características que no suelen cambiar en bastante tiempo.

Las herramientas de control remoto maliciosas comúnmente utilizadas por los delincuentes suelen dejar ciertas “huellas” características y es posible detectar en qué regiones se están centrando. Actualmente, y basándonos en la telemetría de ESET durante los cuatro primeros meses de 2022, España estaría en primera posición en lo que respecta a detección de este este tipo de amenazas, englobadas dentro de la categoría infostealers que, además, incluye otras amenazas como los troyanos bancarios.

Esta situación no es nueva y llevamos varios meses observándola. El motivo por el que se detectan tantos ataques dirigidos principalmente a empresas españolas puede estar relacionado con la falta de concienciación acerca de este tipo de correos y las falicidad que aún tienen los delincuentes para infectar dispositivos conectados a redes corporativas.

Conclusión

Independientemente del asunto utilizado, debemos tener en cuenta que este tipo de correos suelen enviarse de forma masiva y continua, por lo que debemos ser capaces de detectarlos antes de que sea demasiado tarde, concienciando a los usuarios para que sospechen de todo email que no haya sido solicitado (incluso aunque provenga de fuentes de confianza) y desplegando soluciones de seguridad que permitan su eliminación.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital