Site icon Panda Security Mediacenter

“Pensaba que habíamos ganado un contrato de 150.000€, pero nos hackearon a toda la empresa”

ciberataque LinkedIn malware

pensaba-habiamos-ganado-contrato-pero-hackean-toda-empresa

Hasta hace algunos años, estaba mal visto abrir LinkedIn en el trabajo, porque era sinónimo de estar buscando trabajo. Hoy en día, es casi una obligación entrar a diario en esta red social para darle “like” a lo que ha dicho tu jefe o tu cliente. Es normal tenerlo abierto todo el día en una de las mil pestañas del navegador. Porque siempre te enteras de cosas interesantes como “qué ha hecho la competencia” o “los must know del sector en el que trabajas”. Pero, para quienes se dedican a las ventas, tener Linkedin abierto todo el día es una obligación.

Y, aunque no se reciben tantos mensajes como en WhatsApp o en Slack, lo cierto es que LinkedIn es una fantástica herramienta para la comunicación empresarial. Y claro, los grupos organizados de ciberdelincuentes siempre sacan provecho de aquellos entornos digitales en los que hay mucha gente.

De ahí que en Panda Security a WatchGuard brand, hayamos detectado una oleada de ciberataques a pequeñas y medianas empresas a través de los mensajes internos de LinkedIn para colar malware a sus víctimas. Los hackers  se sirven de la ingeniería social para pedir propuestas económicas en las páginas corporativas de cientos de pymes en LinkedIn o en los perfiles de sus directivos.

El ataque está tan bien diseñado, que más del 85% de las empresas que han recibido los emails han caído en el engaño. Pasando a la segunda fase del ciberataque.

El engaño es tan sencillo como eficiente. Los ciberdelincuentes se hacen pasar por directivos de una empresa para solicitar los servicios de una pyme. Para ello facilitan una dirección de correo electrónico muy similar a una dirección real. A partir de ahí comienzan una conversación que acaba en el envío de una documentación que descargar para firmar el contrato de prestación de servicios. Pero, en lugar de eso, las víctimas acaban abriendo un fichero infectado de malware que toma el control de todo el sistema informático de la compañía.

“Pensaba que habíamos ganado un contrato de 150.000€. Pero en lugar de eso nos hackearon a toda la empresa”. Aseguraba José Miguel, CEO de una pequeña consultora de transporte y logística. “En el email en el que nos indicaban cómo descargar las bases del proyecto. Mencionaban un presupuesto e incluso la comisión habitual que se suele cobrar por el éxito en los servicios que ofrecemos”, añade.

En el caso de una agencia de publicidad en Internet, solo en lo que va del mes de septiembre, sus directivos han recibido cinco ataques distintos. “Los timos estaban tan bien perpetrados que la persona encargada de leer los emails internos de Linkedin ha caído en el engaño tres veces seguidas”. Indica Gerardo, director general de la pyme.

En este caso, un supuesto responsable de marketing de una marca de renombre se puso en contacto con la agencia para proponer una colaboración en campañas de publicidad en redes sociales. Esto genera una apariencia profesional y legítima para captar la atención de la empresa.

Suplantación de la identidad de directivos de una forma muy creíble

En los emails suplantaban la identidad del director regional de marketing de una famosa marca de gafas de sol. Y también recibieron correos por parte del Country Manager de una empresa de cosméticos y del responsable del área de Europa de un fabricante de bolsos de lujo.

En el caso de la marca de gafas de sol, una persona con un perfil de LinkedIn muy trabajado para parecer real se hacía pasar por la una directiva regional a nivel de Europa.  La solicitud parecía legítima: querían una propuesta para una campaña de publicidad. Tras responder al mensaje por LinkedIn, el equipo de la agencia recibió un correo electrónico de una persona distinta, “Emilie”, quien envió un enlace a Dropbox con supuestas creatividades.

El problema comenzó cuando un miembro del equipo descargó un archivo comprimido en formato .zip. “Dentro, había un documento disfrazado como archivo de Word pero con extensión .LNK, un tipo de archivo comúnmente usado para distribuir malware. Afortunadamente, el equipo contaba con Panda Dome, que bloqueó la apertura del archivo sospechoso y se despertaron las alarmas”, apunta Hervé Lambert, Global Consumer Operations Manager de Panda Security, a WatchGuard brand.

A partir de aquí, se dieron cuenta de los detalles sospechosos. La dirección de correo electrónico no coincidía con el dominio oficial del fabricante de gafas. Además, al hacer un análisis de las comunicaciones, empezaron a darse cuenta de que eran demasiado informales y rápidas para una marca de prestigio. Ya que, normalmente requiere de varias reuniones antes de enviar ninguna información.

Poco después, el perfil de LinkedIn de “Natalie” había desaparecido. Y el email que había enviado por la red social había sido marcado sospechoso de ser un fraude.  pues “el mensaje podría ser dañino​​”.

“Este caso es un claro ejemplo de cómo los ciberdelincuentes emplean ingeniería social para crear confianza a través de plataformas legítimas como LinkedIn. Usando el disfraz de una solicitud comercial, logran engañar a sus víctimas, llevándolas a descargar archivos maliciosos. Como parte de la oleada de ataques de phishing, estos esquemas son cada vez más complejos y difíciles de detectar” apunta Hervé Lambert.

Emails que pasarían por ciertos en el 85% de los casos

Los emails contaban con frases habituales en una petición de presupuesto. Por ejemplo “estamos interesados en invitar a su empresa a desarrollar nuestro plan de publicidad en redes sociales. Esperamos sus ideas lo antes posible. La campaña comenzará el 20 de septiembre de 2024.”

Además, los cibercriminales usaban llamadas a la acción mediante un enlace a Dropbox con archivos que supuestamente contienen detalles sobre la campaña o creatividades publicitarias.

Este enlace que es la puerta de entrada para el malware requería de una contraseña que los ciberdelincuentes enviaban en un segundo email para “dotar de mayor seguridad” al acceso al fichero.

En el archivo adjunto “encontrarás los detalles sobre la campaña”. O “hemos preparado un archivo con información que creemos será útil para planificar la campaña.”

Para dotar de todavía más realismo a los emails y provocar que el destinatario abriera rápidamente los enlaces, los atacantes generaban cierta sensación de urgencia en los plazos de presentación de una propuesta o bien indicando que la  colaboración ya está prácticamente asegurada.

“Cada email era distinto, y cada petición parecía totalmente auténtica. Iguales que las que solemos recibir en muchas licitaciones. Los hackers planteaban distintas propuestas económicas y planes detallados de pago, con presupuestos realistas y comisiones de agencia muy sensatas. Al abrir el fichero en el que estaban las especificaciones de la campaña, se instaló un malware en el equipo que rápidamente se hubiera hecho con el control de todo nuestro sistema si no hubiera sido porque el antivirus evitó que se desplegara el código malicioso” asegura Gerardo, director general de una de las empresas que han sido víctimas del ataque.

Exit mobile version