Los periodistas manejamos información confidencial y tenemos acceso a datos en ocasiones muy sensibles. Eso hace que nos convirtamos también en un objetivo recurrente para los ciberdelincuentes.
En ocasiones incluso hay algunas amenazas que han sido diseñadas específicamente para nuestro gremio. De esto va la noticia que nos ocupa.
Piratas informáticos de estado-nación asociados a Corea del Norte y conocidos como APT37 (o Ricochet Chollima) han sido descubiertos atacando a periodistas que suelen cubrir noticias sobre el país asiático con una nueva cepa de malware. Este grupo ya ha sido asociado en otras ocasiones con amenazas enfocadas en profesionales de la información.
Este malware se distribuiría mediante un ataque de phising y ha sido descubierto por NK News, una web de EE UU que recoge noticias y análisis sobre la también llamada República Democrática de Corea. En algunos casos publican temas que vienen de inteligencia.
De acuerdo a Bleeping Computer, quien recoge la noticia, el colectivo patrocinado por Corea del Norte, consideraría que estos informes serían una operación hostil y han tratado de acceder a información altamente confidencial para averiguar quienes son las fuentes que están filtrando cosas.
NK News se puso en contacto con los expertos en malware Stairwell para que analizara técnicamente la amenaza. Esta firma halló una nueva muestra de malware denominada 'Goldbackdoor', la cual sería una sucesora de Bluelight.
Así opera el malware
Los emails de phishing que son la puerta de acceso al malware tendrían su origen directamente en la cuenta del ex director del Servicio de Inteligencia Nacional de Corea del Sur (NIS), la cual APT37 había comprometido previamente. Como si se tratara de una pequeña broma.
En cuanto a la campaña esta emplearía un proceso de infección de dos etapas que ofrece mayor versatilidad a a los ciberdelincuentes.
Los correos mandados a los periodistas contenían un enlace para descargar archivos ZIP haciendo referencia al Ministro de Industrias Mineras de Corea del Norte, para ver si picaban.
Aunque aparentemente los archivos comprimidos se hacían pasar por un documento de texto con el correspondiente icono, en realidad contenían archivos LNK (accesos directos de WIndows). Al ejecutarse incluso se abre un doc hay, mientras la amenaza hace de las suyas.
Una vez en los equipos Goldbackdoor se introduce en servicios en la nube como Google Drive o Microsoft OneDrive para exfiltrar archivos, buscando hacerse con archivos de tipo PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP y MSG.