Lazarus Group lanza la campaña ClickFake Interview: Tácticas y medidas de protección
El grupo Lazarus, un colectivo de hackers patrocinado por el estado norcoreano, ha iniciado una nueva campaña maliciosa denominada ClickFake Interview. Esta operación se dirige a usuarios de Windows y macOS mediante técnicas de ingeniería social y exploits avanzados. A continuación, se analizan los detalles técnicos, vectores de ataque y recomendaciones para mitigar riesgos.
Mecanismos de la campaña ClickFake Interview
La campaña emplea correos electrónicos de phishing que simulan ofertas laborales legítimas, invitando a las víctimas a participar en entrevistas falsas. Los ataques incluyen:
- Documentos maliciosos: Archivos adjuntos (PDF o Word) con macros ocultas que ejecutan código malicioso al ser abiertos.
- URLs fraudulentas: Enlaces que redirigen a sitios web controlados por los atacantes para descargar payloads como RustBucket (macOS) o BlueNoroff (Windows).
- Explotación de vulnerabilidades: Uso de CVE no parcheados en aplicaciones populares para escalar privilegios.
Técnicas de evasión y persistencia
Lazarus ha refinado sus métodos para evitar detección:
- Ofuscación de código: Scripts en PowerShell o Python con funciones cifradas para dificultar el análisis estático.
- Living-off-the-Land (LotL): Abuso de herramientas legítimas del sistema (como WMI o PsExec) para moverse lateralmente.
- Módulos en memoria: Inyección de DLLs maliciosas en procesos legítimos para evitar escritura en disco.
Recomendaciones de mitigación
Para contrarrestar esta amenaza, se sugieren las siguientes medidas técnicas:
- Capacitación en seguridad: Educar a empleados sobre señales de phishing y verificación de remitentes.
- Parches y actualizaciones: Aplicar inmediatamente actualizaciones de software, especialmente para suites ofimáticas y navegadores.
- Configuración de macros: Deshabilitar la ejecución automática de macros en documentos Office.
- Segmentación de red: Limitar el acceso entre segmentos para reducir el movimiento lateral.
- Soluciones EDR/XDR: Implementar herramientas de detección basadas en comportamiento para identificar anomalías.
Implicaciones para organizaciones
Esta campaña refleja la adaptabilidad de Lazarus para objetivos financieros y de espionaje. Las empresas deben priorizar:
- Monitoreo continuo de tráfico saliente inusual.
- Análisis forense rápido ante incidentes.
- Colaboración con agencias de ciberseguridad para compartir indicadores de compromiso (IOCs).
Para más detalles técnicos, consulta el informe completo en Fuente original.
