APT37 de Corea del Norte usa Facebook para propagar malware RokRAT
Un grupo de hackers norcoreanos, conocido como APT37, está utilizando Facebook para engañar a usuarios e instalar un programa espía llamado RokRAT en sus computadoras. Los atacantes se hacen amigos de sus objetivos en la red social y, una vez que ganan su confianza, los convencen de descargar un software malicioso.
Cómo funciona el ataque
Según el Centro de Seguridad de Genians (GSC), los hackers crean perfiles falsos en Facebook, con ubicaciones en Pyongyang y Pyongsong, Corea del Norte, para identificar a sus víctimas. Después de agregarlos como amigos, inician conversaciones por Messenger sobre temas específicos para engañarlos. El truco principal es convencer a los usuarios de que instalen un visor de PDF falso, haciéndoles creer que es necesario para abrir documentos militares encriptados.
- El visor de PDF es en realidad una versión modificada de Wondershare PDFelement.
- Al ejecutarlo, se activa un código que permite a los atacantes tomar el control inicial del equipo.
- Además, utilizan un sitio web legítimo, perteneciente a una empresa japonesa de bienes raíces con sede en Seúl, para dar instrucciones y enviar programas maliciosos.
- El programa espía RokRAT se oculta dentro de una imagen JPG que parece inofensiva.
Qué hace el malware RokRAT
Una vez instalado, RokRAT utiliza Zoho WorkDrive para comunicarse con los hackers y realizar diversas acciones, como:
- Tomar capturas de pantalla.
- Ejecutar comandos de forma remota a través de "cmd.exe" (el intérprete de comandos de Windows).
- Recopilar información sobre el equipo infectado.
- Realizar reconocimiento del sistema.
- Evadir la detección de programas de seguridad como 360 Total Security.
- Disfrazar el tráfico malicioso.
Qué significa esto para ti
Este tipo de ataques demuestran la importancia de ser cautelosos en las redes sociales y desconfiar de archivos o programas que te envíen personas desconocidas, incluso si parecen amigables. Verifica siempre la autenticidad de los programas antes de instalarlos y mantén tu software de seguridad actualizado. Si recibes un archivo sospechoso, especialmente si te piden instalar un programa para abrirlo, ¡ten mucho cuidado!
