Falsos reclutadores atraen a empleados del sector aeroespacial con un reto de programación malicioso
(welivesecurity.com)- Empleados de una empresa aeroespacial española recibieron en LinkedIn mensajes de Lazarus, que se hizo pasar por reclutadores de Meta, y la intrusión inicial ocurrió cuando ejecutaron en equipos corporativos archivos que parecían pruebas de contratación
- La tarea maliciosa se entregó como
Quiz1.exeyQuiz2.exe, y tras mostrar “Hello, World!” y la secuencia de Fibonacci, activaba la instalación de cargas adicionales dentro de imágenes ISO - Después de la intrusión, mediante DLL sideloading se desplegaron NickelLoader, miniBlindingCan y un nuevo RAT llamado LightlessCan; ESET lo atribuye con alta confianza a actividad de Lazarus vinculada con Operation DreamJob
- LightlessCan parece ser el sucesor de BlindingCan y replica dentro del propio RAT funciones de comandos de Windows como
ipconfig,net,ping,systeminfoysc, reduciendo así los rastros de ejecución en consola - El objetivo del ataque era el ciberespionaje, y el uso de comandos integrados junto con barreras de ejecución que permiten descifrar solo en el equipo de la víctima dificultó más la detección en tiempo real y el análisis forense posterior
Intrusión inicial iniciada con un señuelo de contratación en LinkedIn
- Lazarus contactó a varios empleados de una empresa aeroespacial española a través de LinkedIn Messaging
- Los atacantes se hicieron pasar por reclutadores de Meta, matriz de Facebook, Instagram y WhatsApp
- Usaron como gancho una solicitud para demostrar habilidades de programación en C++ como parte del proceso de contratación
- Las víctimas descargaron
Quiz1.isoyQuiz2.isodesde almacenamiento en la nube de terceros y ejecutaron en equipos corporativos los archivos ejecutables que conteníanQuiz1.exe: disfrazado como una tarea simple que imprime “Hello, World!”Quiz2.exe: disfrazado como una tarea que imprime la secuencia de Fibonacci hasta el mayor elemento menor que el valor de entrada- Ambos ejecutables procesaban entrada y salida como aplicaciones de consola legítimas y luego iniciaban la instalación de cargas maliciosas adicionales
- La primera carga era un downloader HTTP(S) al que ESET llamó NickelLoader
- NickelLoader puede desplegar en la memoria de la computadora de la víctima cualquier programa que el atacante quiera
Base de la atribución a Lazarus y Operation DreamJob
- ESET atribuye con alta confianza este ataque en España a Lazarus, en particular a actividad relacionada con Operation DreamJob
- El malware, la infraestructura y los objetivos se superponen con campañas anteriores de Lazarus
- El método de contactar por LinkedIn y luego inducir la ejecución de archivos maliciosos disfrazados como pruebas de contratación es una táctica que Lazarus usa desde Operation DreamJob
- Se observaron nuevas variantes del loader intermedio y de la familia de backdoors BlindingCan identificados en un caso de Países Bajos en 2022
- Las herramientas usaban cifrado AES-128 y RC6 con claves de 256 bits, un enfoque también usado en campañas temáticas de Amazon
- En lugar de montar directamente sus servidores C&C de primera etapa, los atacantes comprometieron sitios web existentes con seguridad débil o mal mantenidos y los reutilizaron
- El robo de know-how de la empresa aeroespacial coincide con los objetivos de largo plazo de Lazarus
- Informes de la ONU han señalado que grupos APT vinculados con Corea del Norte atacan empresas aeroespaciales para acceder a tecnología sensible y conocimiento del sector
Conjunto de herramientas tras la intrusión
- Tras ejecutar NickelLoader, los atacantes desplegaron dos tipos de RAT en el sistema de la víctima
- miniBlindingCan: variante recortada del backdoor BlindingCan, conocido dentro del arsenal de Lazarus
- LightlessCan: un nuevo RAT que no había sido documentado públicamente
- La cadena de ejecución está compuesta por múltiples etapas con distintos niveles de complejidad, con droppers y loaders antes de ejecutar el RAT final
- Los droppers contienen cargas embebidas y pueden cargarlas y ejecutarlas directamente desde memoria sin escribirlas en el sistema de archivos
- Los loaders cargan la carga útil desde el sistema de archivos sin usar arreglos cifrados embebidos
- Los archivos principales usan en su mayoría una estructura de DLL sideloading en la que ejecutables legítimos cargan DLL maliciosas
PresentationHost.exe+mscoree.dll: basado en una versión troyanizada de NppyPluginDll, entrega NickelLoadercolorcpl.exe+colorui.dll: basado en LibreSSL 2.6.5, entrega miniBlindingCanfixmapi.exe+mapistub.dll: basado en Lua plugin 1.4.0.0 para Notepad++, entrega LightlessCantabcal.exe+HID.dll: basado en MZC8051 3.2 para Notepad++, entrega LightlessCan
Características principales de LightlessCan
- LightlessCan parece ser el sucesor de BlindingCan, el RAT HTTP(S) de Lazarus, y el número de versión interna de la versión actual es
1.0 - Está configurado para soportar hasta 68 comandos y en la versión actual hay funcionalidad implementada para 43 de ellos
- Los comandos restantes existen como marcadores de posición, pero no tienen función real
- El orden de los comandos compartidos se conserva en gran medida, lo que sugiere una base de código derivada de BlindingCan
- El cambio más importante es que replica dentro del RAT la funcionalidad de varios comandos nativos de Windows
- Ejemplos de comandos implementados:
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdir, entre otros - En ataques previos de Lazarus, estos comandos solían ejecutarse repetidamente desde consola después de que el atacante ya había afianzado su acceso al sistema
- Este enfoque procesa todo dentro del RAT sin lanzar de forma visible las utilidades originales de consola, dificultando la detección por monitoreo en tiempo real como EDR y por herramientas de forense digital posterior
- Ejemplos de comandos implementados:
- ESET considera probable que los desarrolladores de LightlessCan hayan hecho ingeniería inversa de binarios de código cerrado para imitar utilidades clave de Windows
- Aunque el proyecto Wine implementa varios de estos programas, algunas funciones imitadas por LightlessCan eran distintas o no existían en Wine
Cadena de intrusión de NickelLoader
- NickelLoader es un downloader HTTP(S) que se ejecuta en el sistema infectado y se usa para entregar cargas posteriores de Lazarus
- Cuando la víctima ejecuta manualmente el ejecutable del quiz,
PresentationHost.exese lanza automáticamente y hace sideloading delmscoree.dllmalicioso ubicado en la misma rutaC:\ProgramShared\mscoree.dlles un archivo troyanizado a partir deNppyPluginDll.dlldel proyecto descontinuado en 2011 General Python Plugins DLL for Notepad++- Incluye los exports del
mscoree.dlllegítimo y delNppyPluginDll.dlloriginal, y el código malicioso está en el exportCorExitProcess
- Para descifrar el arreglo cifrado embebido se requieren tres palabras clave de 16 caracteres
- Nombre del proceso padre
PresentationHost - Parámetro interno hardcodeado en el binario
9zCnQP6o78753qg8 - Parámetro externo pasado por línea de comandos
‑embeddingObject - Las tres palabras se combinan con XOR a nivel de byte para formar la clave de descifrado AES-128
- Nombre del proceso padre
- NickelLoader reconoce cuatro comandos de 5 letras
abcde: solicita de inmediato el siguiente comando sin la demora larga de sleep habitualavdrq: carga como DLL el búfer recibido y ejecuta el export hardcodeadoinfogabnc: carga como DLL el búfer recibidodcrqv: termina su propia ejecución
- ESET nombró esta carga NickelLoader porque la estructura de comandos de 5 letras le recordó al apodo en inglés de la moneda estadounidense de cinco centavos, nickel
Cadena de ejecución de miniBlindingCan
- Una de las cargas descargadas y ejecutadas por NickelLoader es miniBlindingCan
- Es una versión simplificada del RAT BlindingCan y fue reportada por primera vez en septiembre de 2022 por Mandiant bajo el nombre AIRDRY.V2
- Para cargarlo se usan el
colorcpl.exelegítimo y elcolorui.dllmalicioso ejecutados desdeC:\ProgramData\Adobe\colorui.dlles una DLL maliciosa de 64 bits ofuscada con VMProtect- Incluye miles de exports y
LaunchColorCplse encarga de ejecutar la siguiente etapa
- El dropper usa funciones de evasión de análisis al inicio de la ejecución
- Realiza anti-debugging revisando el valor
BeingDebuggedde la estructura PEB - Usa técnicas anti-sandbox para evitar la detección en entornos sandbox
- Verifica explícitamente si el proceso padre es
colorcpl.exe; si no lo es, termina de inmediato
- Realiza anti-debugging revisando el valor
- Para descifrar la carga final se usa como clave XOR una cadena larga formada al concatenar el nombre del proceso padre, el nombre del archivo dropper y el parámetro externo de línea de comandos
- Un ejemplo de la cadena resultante es
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- Un ejemplo de la cadena resultante es
- miniBlindingCan tiene una lógica de manejo de comandos similar a la de BlindingCan, pero con funcionalidades muy reducidas
- Soporta envío de información del sistema, actualización del intervalo de comunicación, envío y actualización de configuración, descarga y descifrado de archivos, y ejecución de shellcode recibido
- La configuración descifrada ocupa 9,392 bytes e incluye 5 URL de hasta 260 wide characters cada una
Cadena simple de ejecución de LightlessCan
- La cadena simple de LightlessCan usa el
fixmapi.exelegítimo y elmapistub.dllmalicioso ejecutados desdeC:\ProgramData\Oracle\Java\ mapistub.dlles una DLL troyanizada a partir del Lua plugin 1.4 para Notepad++- Tiene copiados los exports del
mapi32.dlllegítimo de Windows - El export
FixMAPIse encarga del descifrado y la carga de la siguiente etapa - Los otros exports están rellenados con código legítimo de un proyecto de ejemplo público de MineSweeper
- Tiene copiados los exports del
- Este dropper establece persistencia mediante una tarea programada
- ESET indicó que faltan detalles de esta tarea, pero que el proceso padre aparece como
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
- ESET indicó que faltan detalles de esta tarea, pero que el proceso padre aparece como
- Para descifrar los datos embebidos se usan tres palabras clave
- Nombre del proceso padre
fixmapi.exe - Parámetro interno
IP7pdINfE9uMz63n - Parámetro externo de línea de comandos
AudioEndpointBuilder - Las palabras se combinan con XOR a nivel de byte y el resultado se convierte en una clave AES de 128 bits
- Nombre del proceso padre
Cadena compleja de ejecución de LightlessCan y barreras de ejecución
- La cadena más compleja de LightlessCan incluye una aplicación legítima, un dropper inicial, un dropper completo, un dropper intermedio, un archivo de configuración, un archivo de información del sistema, un loader intermedio y el RAT final LightlessCan
- El dropper inicial es el
HID.dllmalicioso quetabcal.exelegítimo carga mediante sideloading desdeC:\ProgramData\Adobe\ARM\HID.dlles un archivo troyanizado a partir deMZC8051.dlldel proyecto 8051 C compiler plugin para Notepad++- El export
HidD_GetHidGuidse encarga de soltar la siguiente etapa
- La primera fase de descifrado requiere tres palabras clave
- Nombre del proceso padre
tabcal.exe - Parámetro interno
9zCnQP6o78753qg8 - Contenido del archivo
%WINDOWS%\system32\thumbs.db, que esLocalServiceNetworkRestricted - Los tres valores se combinan con XOR para crear una clave AES de 128 bits
- Nombre del proceso padre
- El dropper completo generado tiene un recurso InternalName llamado
AppResolver.dlle incluye dos arreglos de datos cifrados- Contiene un arreglo pequeño de 126 bytes y uno grande de 1,807,464 bytes
- El arreglo pequeño se descifra con RC6 usando una clave de 256 bits y produce las rutas
C:\windows\system32\oci.dllyC:\windows\system32\grpedit.dat - El resultado del descifrado del arreglo grande incluye LightlessCan, el dropper intermedio y un archivo de configuración cifrado de 14,948 bytes soltado como
%WINDOWS%\System32\wlansvc.cpl
- El dropper completo guarda varias características identificadoras del sistema infectado en
%WINDOWS%\System32\4F59FB87DF2F- Los valores se obtienen principalmente de la ruta de registro
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS - Incluyen
SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductNamey el valorIdentifierbajo el controlador de disco - La cadena concatenada de esos valores es necesaria para descifrar el
grpedit.datcifrado en el sistema de archivos
- Los valores se obtienen principalmente de la ruta de registro
- Esta estructura funciona como una barrera de ejecución
- Permite que la carga se descifre solo en la computadora de la víctima prevista, dificultando el descifrado en otros equipos de investigadores de seguridad
Evasión de detección e impacto en el análisis
- LightlessCan puede reducir de forma importante los rastros de ejecución de programas de línea de comandos de Windows usados frecuentemente en etapas posteriores al compromiso
- Sustituye la ejecución de utilidades de consola originales por implementaciones internas de sus comandos
- Reduce las huellas observables en el registro de comandos y en la detección en tiempo real
- A lo largo de toda la cadena de ataque se combinan varias técnicas de evasión de defensas
- DLL sideloading
- Ofuscación con VMProtect
- Resolución dinámica de APIs de Windows
- Cargas embebidas
- Inyección reflectiva de DLL
- Inyección en procesos
- Evasión de depuradores y sandboxes
- Herramientas y configuración cifradas en el sistema de archivos
- La comunicación con C&C también fue diseñada para dificultar el análisis y la detección
- LightlessCan y miniBlindingCan se comunican con el C&C por HTTP/HTTPS
- El tráfico C&C está cifrado con AES-128
- Para codificar el tráfico se usa base64
- LightlessCan también tiene funciones de exfiltración y puede enviar datos al servidor C&C
Resumen de IoC y MITRE ATT&CK
- Principales IoC de archivos iniciales
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, dropper inicial disfrazado como reto “Hello World”38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, dropper inicial disfrazado como reto de secuencia de FibonacciC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, dropper de NickelLoaderE61672B23DBD03FE3B97EE469FA0895ED1F9185D: downloader HTTPS de NickelLoader
- Principales IoC de archivos relacionados con LightlessCan
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper de LightlessCanC7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan soltado pormapistub.dllE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper inicial de la cadena compleja3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, LightlessCan soltado en la cadena compleja247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, dropper intermedio
- El C&C usa sitios legítimos comprometidos
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- Según MITRE ATT&CK, esto se mapea a reconocimiento por redes sociales, enlaces y servicios de spearphishing, ejecución de archivos maliciosos por parte del usuario, tareas programadas, DLL sideloading, barreras de ejecución, debilitamiento del registro del historial de comandos, C&C por protocolos web, canal cifrado simétrico y exfiltración a través del canal C2
1 comentarios
Comentarios de Hacker News
Qué astuto infiltrarse con una tarea de LeetCode para hacer en casa
Desarrollo software para Apple, y los proyectos de Xcode pueden meterse bastante profundo. Apple muestra una advertencia al abrir proyectos descargados, pero si uno piensa que es una tarea para hacer en casa, casi termina ignorándola
Las tareas en línea también podrían pedir permisos de acceso delicados, y es muy probable que estas personas tengan bastante acceso a los activos clave de la empresa. Claro, nadie usaría recursos de la empresa para buscar trabajo, pero si se dice que eso pasa bastante seguido, aquí todos reaccionan con mucha sensibilidad
Un postulante ni siquiera pudo levantar el REPL de su propio proyecto y, mientras batallaba, murmuró: “mejor hubiera usado la computadora de la empresa”. Que ni siquiera pudiera ejecutar lo más básico en su computadora personal significaba que había hecho la tarea en la computadora de la empresa
Hay que considerar que en 1996 las direcciones de correo personales no eran tan comunes como hoy, pero aun así fue un error de principiante. Desde hace mucho mantuve el principio de no hacer asuntos personales en la computadora de la empresa, aunque no era una actitud común
No será una solución perfecta, pero estaría bien poder abrir proyectos en un modo donde todas las etapas de compilación se ejecuten en un sandbox. Si falla, uno revisa qué intentaba hacer
Honestamente, no creo que la mayoría de mis colegas haga el mismo nivel de diligencia debida
Me sorprende cada vez que veo a gente usando el equipo de su empresa actual para tareas para hacer en casa, correos de headhunters o llamadas de entrevista con otras empresas
Mucha gente ha dicho que lo hace, pero no lo entiendo. Hay demasiadas consecuencias posibles. Un gerente demasiado motivado incluso intentó convencer a un futuro empleador de que no me contratara mediante contactos personales, solo porque se enteró
Aunque sea poco ético o ilegal, estas cosas pasan en la realidad, y también en grandes tecnológicas. Se siente raro pensar en compartir voluntariamente los detalles de la búsqueda laboral con el empleador. El trabajo y la vida privada deberían separarse como una separación Iglesia-Estado, ¿no?
Son desarrolladores de software y les alcanza de sobra para comprar una laptop. Lo máximo que yo mezclo es usar una laptop de la empresa, pequeña, liviana y con Bluetooth, para ver videos inofensivos de YouTube mientras lavo los platos. Antes también la usaba a veces para imprimir en la oficina
Estoy totalmente de acuerdo en que es muy riesgoso y que no debería hacerse, pero si la gente no lo piensa demasiado o no se mantiene alerta, puede pasar perfectamente
No entiendo por qué agregar riesgos innecesarios. Quizá les gusta esa adrenalina
¿Le enviaron a la víctima un archivo .exe con el pretexto de que tenía que replicar una función en C++? En el momento en que alguien te manda un archivo .exe, debería ser una señal fuerte de que es un ataque o, como mínimo, de que quien lo envía es increíblemente incompetente técnicamente
Aunque tal vez lo diga porque viví la época de Windows 95. Algunas lecciones parecen tener que reaprenderse en cada generación
No sabemos cuánta gente recibió una prueba extraña y dijo “entonces no la hago”. Hoy en día es bastante fácil ejecutar aplicaciones en un sandbox, y no hacerlo es una tontería. Sandboxie es gratis y no siempre garantiza funcionar, pero podría haber tenido éxito y, como mínimo, probablemente habría hecho más visible el comportamiento extraño. Windows Pro también tuvo durante un tiempo una opción en el menú de clic derecho para ejecutar archivos ejecutables en un sandbox
Al ver el título, al principio pensé que era una infección a través del IDE. Hay una razón por la que existen preguntas como “¿confías en el autor de este proyecto?”, y en el caso de VS Code, con trucos en la configuración de Git incluso se puede ejecutar código antes del prompt
Tendría cuidado al ejecutar programas, pero si un reclutador me enviara una prueba de programación en forma de proyecto incompleto en un repositorio Git, es muy probable que presionara el botón de “permitir ejecución de código”. Sobre todo si en una entrevista remota revisan el código en tiempo real y dicen que quieren “ver el enfoque del problema”. Este ataque es muy básico, pero no es difícil hacer que la infección inicial sea difícil de detectar a tiempo
Hacer que alguien descargue o ejecute un archivo ejecutable adjunto es simple, pero parece seguir siendo efectivo. Una forma más maliciosa y efectiva sería apuntar a un repositorio de GitHub con el proyecto de la “tarea” y hacer que, cuando la víctima pruebe su solución, referencie un paquete comprometido que haga lo que el atacante quiere
Sé que no son simples script kiddies, pero me da curiosidad cómo reaccionarían si uno intenta contraatacar. Si me dan un .exe y me dicen que lo ejecute, no lo ejecutaría: lo abriría con un editor hexadecimal para inspeccionarlo. Si un archivo que dice ser “hello world” o un generador de Fibonacci es mucho más grande de lo esperado, o contiene datos que parecen cifrados o intentos de ofuscación, no lo ejecuto
Si puedes bloquear el código fuente y cambiar detalles para cada candidato, las soluciones publicadas en línea no sirven
Cuando hacía consultoría para programas gubernamentales, deliberadamente no subía mi currículum a internet.
No tenía accesos que pudieran servirle a un espía, pero algunas palabras clave podían hacer que pareciera que sí. Como esos reclutadores que les mandan spam a todos los que aparecen en una búsqueda por palabras clave en LinkedIn.
Sabía que cualquier incidente de seguridad tenía que reportarse, y pensaba que podía quedarme sin contrato ni ingresos mientras una burocracia cautelosa procesaba el incidente. Así que quité mi currículum en línea y también tomé medidas para que algún ladrón al azar no terminara robándose por error mi laptop de trabajo.
Ahora ya dejé ese trabajo, así que disfruto, como todos, del spam de reclutamiento para puestos tipo Junior Python Leetcode Hazing Engineer en LinkedIn.
En ciertos puestos o industrias, no hacer público tu estado laboral puede ser una medida de seguridad normal para evitar ataques dirigidos. En el mundo real, sería como si los agentes de la CIA no fueran por el extranjero repartiendo tarjetas de presentación con el sello de la CIA.
Yo también preferiría que ciertas personas no supieran dónde trabajo, pero creo que está bien dejar en línea un currículum viejo que no mencione mi empleo actual. También le pedí al responsable de RR. HH. que mi nombre nunca apareciera en una página pública de “nuestro equipo”.
Como efecto secundario, me río cada vez que toca la capacitación corporativa obligatoria de seguridad que muestra cómo responder a ataques dirigidos y ejemplos de correos de phishing. Hasta ahora no he recibido ni un solo phishing dirigido, salvo las pruebas de empresas de pentesting.
Me pregunto qué idiota hace cosas personales en equipo de la empresa.
No hablo de gente pobre, sino de personas que tienen dinero de sobra para comprarse su propio equipo.
Mi computadora personal es una especie de calefactor que también corre videojuegos, así que no la uso por defecto. Podría comprar un tercer dispositivo, pero puedo hacer mejores cosas con ese dinero.
Claro, intento cumplir las reglas de seguridad de la empresa. Confío en la empresa. No quiero trabajar en una empresa a la que no pueda confiarle mis cookies del navegador. En la jurisdicción donde vivo, la ley también está de mi lado. No pueden despedirme solo porque hice algo que no les gusta en la laptop de la empresa; necesitan una razón muy válida.
Cuando era pasante universitario y estaba mucho más pobre, yo hice lo mismo.
No inicio sesión, y disfruto ver películas en la laptop de trabajo.
En este caso, la víctima trabajaba en una empresa aeroespacial. Conozco a gente de esa industria y todos trabajan horas absurdamente largas. Además, era una empresa española, así que quizá se consideraba normal trabajar más de 10 horas al día.
Cambiando un poco de tema, si la gente de Corea del Norte casi no tiene acceso a internet hasta que se vuelve empleada del gobierno, me pregunto cómo Lazarus/HIDDEN COBRA puede llegar a ser un actor patrocinado por un Estado tan sofisticado.
Sin acceso a investigación moderna de seguridad, proyectos de código abierto, materiales de programación y malware real en circulación, parecería difícil que creciera una generación de hackers excelentes. Tal vez detienen a quienes eluden el firewall y les ofrecen un puesto en la unidad.
También me intriga cómo crees que se entrena a un hacker. No se trata de enseñarles a hacer una app de tareas con una build nocturna de React. Probablemente se sepan mejor que los creadores de Ethernet y la pila TCP/IP cómo funciona todo, y puedan recitarlo al revés; con eso basta para hackear muchas cosas.
En un país donde faltan muchas cosas, como comida y electricidad, es una profesión muy codiciada. Si quieres saber más, puedes escuchar el podcast Lazarus Heist.
No me sorprende: de las 300 agencias de personal de nuestra zona, solo 23 tienen permiso legal para operar como servicio.
Intentar verificar cuáles son falsas y cuáles reales es un hilo del que la mayoría de las empresas y candidatos no quieren tirar.
También existen las estafas de reclutamiento falsas. Consisten en sacar a un empleado ofreciéndole un paquete de compensación atractivo, para que un competidor le extraiga datos, y luego despedirlo antes de que termine el periodo de evaluación, normalmente en 6 a 10 meses. Varios actores maliciosos también están distribuyendo PDF infectados junto con promesas exageradas.
Hay que tener cuidado, y 86Box admite imágenes base de solo lectura y sesiones, como Bochs/kvm: https://github.com/86Box/86Box/releases
También funciona en laptops Apple M1, pero es lento.
Estas cosas malas sí pasan.
En 2019 hackearon mi laptop a través del Wi‑Fi gratis proporcionado por la oficina central y tuve que cambiar todas mis claves SSH.
“Dos ejecutables maliciosos… el primero es un proyecto Hello World… el segundo imprime la secuencia de Fibonacci hasta el mayor elemento menor que la entrada”; esa debió haber sido la primera señal de que algo andaba mal.
Si fuera Meta, habrían empezado con un LeetCode medium o hard.
La seguridad de este sitio web es fantástica.
Bloquearon el uso de las teclas de flecha para desplazarse por el contenido de la página. Seguro es por algún vector de ataque desconocido mediante el teclado. Excelente.