Ofertas de trabajo fake. Cuando una oportunidad laboral se torna en pesadilla

Los grupos delictivos diseñan ofertas de trabajo fake para infectar con malware dispositivos de profesionales y acceder a información de gran valor

Un trabajador recibe un email que capta su atención. Una empresa que conoce le ofrece participar en un proceso selectivo para ocupar una plaza que ha quedado vacante. La oferta encaja con sus conocimientos y experiencia le resulta atractiva. Así que hace clic en un enlace para acceder a una página en la que puede postular su candidatura. Sin embargo, todo se trata de una farsa y al interaccionar con esa página provoca la descarga y ejecución de un malware.

Las ofertas de trabajo fake son una variante de los ataques de phishing más sofisticada y compleja que se dirige expresamente contra profesionales de empresas estratégicas. ¿Cuáles son los objetivos de los delincuentes? Espiar a las organizaciones, robar credenciales de acceso a software corporativo, acceder a información crítica, extorsionar a las víctimas, suplantar su identidad y realizar fraudes bancarios…

Por eso, es de vital importancia que los profesionales actúen con cautela cuando reciben ofertas de empleo, aunque su nivel de veracidad sea elevado, porque lo que puede parecer una oportunidad de crecer profesionalmente, puede acabar generándole serios problemas a ellos y a las organizaciones de las que forman parte.

A continuación, desgranamos las claves de las ofertas de trabajo fake, a través de algunas campañas tristemente célebres como la Operation Dream Job, puesta en marcha por el grupo delictivo Lazarus para espiar a compañías de sectores de vital importancia como el defensivo, el aeroespacial o el tecnológico.

1. ¿En qué consisten las ofertas de trabajo fake?

La operativa de las ofertas de trabajo fake es similar a la de cualquier ataque de ingeniería social, pero su preparación y ejecución es más ambiciosa y requiere más tiempo, esfuerzo, conocimientos y recursos:

• Los delincuentes seleccionan a sus víctimas e investigan tanto a los trabajadores en los que van a impactar como a las organizaciones a las que pertenecen. Para ello, llevan a cabo labores de inteligencia para recopilar información de gran valor a través de redes sociales, webs corporativas, etc.
• Suplantan la identidad de organizaciones de prestigio que puedan seducir a los trabajadores y tentarlos a participar en un proceso selectivo.
• Envían emails a las víctimas o les escriben a través de redes sociales como LinkedIn.
• Crean mensajes personalizados, incluyendo información sobre la víctima y su organización, para generar confianza en las víctimas.
• Conducen a las víctimas a acceder a páginas falsas donde se les pide que aporten información personal o ejecuten un archivo; o se les pide que descarguen y abran documentos maliciosos.
• Desarrollan o adquieren programas maliciosos como troyanos backdoors, spyware, infostealers o ransomware para infectar los dispositivos de las víctimas, pasar inadvertidos el mayor tiempo posible, evadir los mecanismos de seguridad, persistir y cumplir sus objetivos delictivos.

Al igual que sucede con la caza de ballenas o el fraude del CEO, las ofertas de trabajo fake son una tipología de ataques de phishing más ambiciosa y difícil de detectar por parte de los trabajadores que están siendo atacados. Además, los delincuentes se benefician de que los empleados actúan con la máxima discreción porque se trata de una supuesta oferta para cambiar de puesto de trabajo y bajan sus defensas porque ¿quién no se siente halagado al recibir una oferta de una empresa que tiene en alta estima?

2. Ofertas de trabajo fake dirigidas a profesionales de sectores críticos

Como señalamos antes, el tristemente célebre grupo Lazarus, esponsorizado por el gobierno de Corea del Norte, puso en marcha la Operation Dream Job a comienzos de esta década para lanzar ataques dirigidos contra profesionales de alto nivel de empresas occidentales que operan en sectores críticos. Así, en estos años, se han reportado ataques contra grandes multinacionales del sector de la defensa, la aeronáutica o la tecnología.

Pero Operation Dream Job no es la única campaña de ofertas de trabajo fake lanzada por Lazarus. Hace unos meses se ha descubierto que el grupo está usando esta técnica para infectar los dispositivos de los profesionales con un troyano de acceso remoto conocido como Kaolin RAT. Para ello, han desarrollado una operativa de gran complejidad y un conjunto de herramientas muy avanzadas técnicamente para eludir los mecanismos de seguridad de las empresas y persistir en sus sistemas.

En este caso, sus víctimas han sido profesionales de compañías asiáticas y los delincuentes han podido subir, alterar y descargar archivos, crear y finalizar procesos, ejecutar comandos o conectarse a un host arbitrario.

Sin embargo, no solo Lazarus ha optado por atacar a sus víctimas a través de ofertas de trabajo fake. Otros grupos de amenazas persistentes avanzadas (APT) con un gran volumen de recursos y conocimientos han recurrido a esta estrategia.

Por ejemplo, UNC1549, esponsorizado por Irán y conectado con la Guardia Revolucionaria Islámica, ha recurrido a ofertas de trabajo fake para atacar a profesionales de alto nivel de compañías como Boing y espiar a empresas relacionadas con el ámbito de la defensa de estados enemigos de Irán en Oriente Medio como Israel, Emiratos Árabes Unidos o Turquía.

3. Los desarrolladores de software también son un target prioritario

Más allá de las profesionales que trabajan en compañías críticas, otro colectivo que está en el punto de mira de los delincuentes son los desarrolladores de software. ¿Por qué?

1. Se trata de uno de los colectivos con mayor demanda de empleo y movilidad laboral del mundo actualmente. Los mejores desarrolladores están acostumbrados a recibir ofertas de empleo y, por ende, no sospechan de que se traten de ofertas de trabajo fake si están bien elaboradas.
2. Los desarrolladores de software tienen acceso en sus ordenadores a plataformas y software empresariales críticos.

Este mismo 2024, se ha hecho público que otro grupo criminal norcoreano ha empleado ofertas de trabajo fake y un paquete NPM para instalar scripts maliciosos con el objetivo de acceder a credenciales de acceso almacenadas en los navegadores de los dispositivos de sus víctimas.

¿Cómo funcionan estos ataques contra desarrolladores de software?

1. Se envían las ofertas de trabajo fake a las víctimas.
2. Se programa una entrevista para disipar cualquier desconfianza.
3. Durante la entrevista, se solicita que el candidato realice un test para probar que dispone de las aptitudes y conocimientos necesarios. Esto genera una carga de tensión extra en la víctima, que se encuentra ante la tesitura de que, si rechaza realizar la prueba, será expulsado del proceso de selección.
4. Para realizar dicho test se pide al candidato que descargue software de GitHub u otras fuentes fiables. Sin embargo, el software contiene un troyano de acceso remoto (RAT) Python, que permite a los actores maliciosos comprometer el dispositivo desde el que se ejecuta y controlarlo de manera remota.
5. Los delincuentes pueden acceder no solo a las credenciales guardadas en los navegadores, sino también a los archivos, registrar el tecleo de la víctima y ejecutar comandos.

4. Robar criptomonedas, otro objetivo delictivo

Más allá del acceso a credenciales de los desarrolladores, otro de los objetivos de los actores maliciosos que emplean ofertas de trabajo fake para engañar a estos profesionales es sustraer criptomonedas de las carteras que estos puedan tener.

De hecho, Lazarus ha llevado la sustracción de criptomonedas mediante las ofertas de trabajo fake un paso más allá. ¿Cómo? Atacando directamente a un trabajador de CoinsPaid, uno de los grandes proveedores de cripto-pagos del mundo, siguiendo la operativa que venimos de describir: contacto inicial, entrevista falsa y descarga de software malicioso con la excusa de realizar una prueba técnica.

¿Cuál fue el resultado de la operación? La compañía perdió 37 millones de dólares en criptomonedas.

Más allá de ataques tan ambiciosos y precisos como el que sufrió CoinsPaid, lo cierto es que las estafas que emplean la técnica de las ofertas de trabajo fake para sustraer criptomonedas están en alza. De hecho, el FBI ha alertado sobre la puesta en marcha de campañas en las que ofrecen micro-trabajos que se pueden realizar desde casa, pero cuyo objetivo es emplear malware para drenar las cripto-carteras de las víctimas.

5. La era de los deepfakes llama a la puerta

Como hemos ido señalando a lo largo de este artículo, las ofertas de trabajo fake destacan en el actual panorama de amenazas por su alto nivel de credibilidad.

Pues bien, los sistemas de IA generativa están llamados a dificultar, aún más, la detección de esta clase de ataques. No solo porque facilitan la elaboración de mensajes, páginas web falsas e, incluso, código, sino, sobre todo, porque abren la puerta a los deepfakes de imagen y sonido.

De tal forma que las víctimas puedan estar creyendo que conversan con el responsable de recursos humanos de una compañía y, sin embargo, al otro lado hay un actor malicioso.

Al igual que sucede con el fraude del CEO, la posibilidad de realizar deepfakes dificulta, aún más, la detección de las estafas por parte de los profesionales que son atacados.

 

6. Candidaturas falsas para engañar a los recruiters

Hasta ahora, al hablar de ofertas de trabajo fake estábamos poniendo el foco sobre los profesionales que pueden postularse a un puesto de trabajo, pero ¿qué pasa con los recruiters de las empresas? ¿También pueden ser víctimas de esta clase de ataques?

En los últimos meses se han detectado campañas en las que actores maliciosos suplantan la identidad de aspirantes a puestos de trabajo y se ponen en contacto con las personas encargadas de los procedimientos de contratación de las empresas a través de email.

Por ejemplo, el grupo delictivo TA4557, enviaba correos electrónicos a los recruiters para postular a falsos candidatos a plazas que las compañías tenían abiertas. La operativa es similar a la ya desgranada. El email contenía un enlace que dirigía a una página falsa para que el reclutador pudiese echarle un ojo al portfolio del postulante. Dentro de la página falsa se conseguía que el profesional descargase y ejecutase un malware sin ser consciente de ello.

Es decir, aunque las ofertas de trabajo fake están dirigidas, principalmente, contra profesionales de cierto nivel de las empresas, los responsables de contratación de las compañías también deben actuar con cautela a la hora de gestionar las candidaturas que les llegan a sus correos.

7. Concienciar, prevenir y responder: Cómo enfrentarse a las ofertas de trabajo fake

¿Qué pueden hacer las empresas para evitar que sus trabajadores sean víctimas de las ofertas de trabajo fake y los atacantes logren infectar sus sistemas y provocar graves incidentes de seguridad? Es una cuestión compleja de resolver porque los trabajadores no informan a sus organizaciones sobre las ofertas que reciben y resulta difícil disponer de una estrategia para hacer frente a esta clase de ataques. Sin embargo, sus repercusiones pueden ser muy graves, sobre todo, si tenemos en cuenta que:

• Algunas de estas ofertas de trabajo fake llegan a emails corporativos.
• Los profesionales pueden gestionarlas no solo desde dispositivos 100% personales, sino también desde equipos que usan para trabajar y, por ende, en los que tienen almacenados credenciales de acceso a software empresarial y archivos de índole profesional.

Por suerte, las compañías tienen a su disposición diversos servicios de ciberseguridad que les ayudan a incrementar su resiliencia frente a esta clase de ataques de ingeniería social.

7.1. Test de ingeniería social

Los test de ingeniería social sirven para comprobar cómo de resistente es una organización ante las campañas de phishing, así como para formar y concienciar a los profesionales para que implementen una serie de buenas prácticas en su día a día.

Al respecto se alienta a realizar simulaciones de ataques de ingeniería social dirigidos en los que se proceda siguiendo el mismo modus operandi que siguen los actores maliciosos en la actualidad. Esto supone hacer un estudio previo de cuáles son los perfiles más atractivos a contactar y, en base a ese análisis de su puesto, intereses o motivaciones diseñar las campañas de phishing ad hoc a cada uno de ellos.

Se requiere, por tanto, un trabajo artesano, dedicado y pausado, pues estamos hablando de interacciones, y equipos como el de Tarlogic tienen una elevada experiencia en realizarlos.

7.2. Auditoría Cloud y estrategia de seguridad Cloud para empresas

Como indicamos antes, uno de los objetivos primordiales de los actores maliciosos es obtener credenciales para acceder a software corporativo, ya que en estos programas se almacena información crítica de las empresas. Por eso, es de vital importancia auditar la infraestructura en la nube y disponer de una estrategia de seguridad Cloud integral.

7.3. Gestión de vulnerabilidades

La gestión de vulnerabilidades juega una papel trascendental, ya que resulta crítico poder:

• Detectar cualquier vulnerabilidad en la infraestructura tecnológica de una compañía.
• Evitar que sea explotada por los delincuentes y facilite que estos puedan evadir los mecanismos de detección, realizar movimientos laterales y persistir en los sistemas corporativos.

7.4. Servicios de Red Team

Diseñar escenarios específicos en los que se implementen las TTP de los actores maliciosos que emplean las ofertas de trabajo fake para ejecutar diversos malware. Los escenarios de Red Team sirven para testear los mecanismos defensivos de las organizaciones y formar a los profesionales a cargo de su protección.

7.5. Servicios de respuesta a incidentes

En caso de que un grupo delictivo tenga éxito y consigue desplegar malware en un dispositivo o sistema corporativo resulta crítico que las organizaciones puedan responder en el menor tiempo posible, contener la amenaza, expulsar al actor malicioso, minimizar el impacto y recuperar la normalidad. Para ello, es recomendable contratar servicios de respuesta a incidentes proactivos que puedan ponerse a trabajar desde el primer minuto.

En definitiva, los ataques que recurren a las ofertas de trabajo fake para engañar a sus víctimas y lograr que ejecuten malware en sus equipos están al orden del día. Hoy en día, la gran mayoría de los procesos de selección de personal se realizan a través de medios digitales y los actores maliciosos quieren explotar esta vía de entrada a los dispositivos de profesionales de alto nivel y a las empresas en las que trabajan.