Una campaña muy interesante de phishing y propagación de malware fue descubierta por investigadores de la empresa Webroot. 

Los atacantes se hacen pasar por el jefe de Recursos Humanos de la OTAN, al enviar un correo que informa sobre una serie de supuestas ofertas de trabajo (con grandes sueldos) en la organización internacional, e instan a los beneficiarios para aplicar cuanto antes.

Desafortunadamente, con el fin de poder aplicar para la vacante, es necesario llenar un formulario y una solicitud de entrevista falsa, en la cual se pide que se comparta información personal como el nombre, la dirección, teléfono (de casa y celular), dirección de correo electrónico, estado civil, fecha de nacimiento, información sobre hijos (en el caso de tener), educación, historial de empleo, otras habilidades y mucho más.

De hecho, todo el esquema parece una operación de inteligencia muy completa.

Dancho Danchev afirma que "el formulario de solicitud de empleo requiere de detalles sobre la habilitación de seguridad, el nivel y la fecha de vencimiento de la vacante del prospecto a empleado, así como detalles sobre si el prospecto tiene parientes civiles o militares trabajando actualmente para la OTAN. Por otra parte, los posibles solicitantes también tienen que proporcionar información detallada acerca de su paradero en el extranjero, tales como país, motivo de visita y fechas exactas de entrada y salida. No hace falta decir que alguien está buscando lo mejor de la información sensible y personal de los prospectos mediante ingeniería social."

Y luego, para el golpe final, una vez que los solicitantes enviaron su información, reciben un correo de confirmación por parte de la OTAN, el cual informa y extiende una invitación para comunicarse con el Director del Instituto de Entrenamiento vía correo electrónico para concluir el registro y detalles del entrenamiento.

De acuerdo a Danchev, los dominios mencionados utilizados para el ataque responden a la misma IP que muchos otros dominios falsos (que intentan suplantar a PayPal, el FBI, eBay y muchos otros), todos redirigen a sitios que hospedan el kit de exploit Blackhole y algunos otros exploits para usuarios.

Los usuarios que se comunican con las direcciones de correo electrónico mencionadas son más vulnerables a llegar a los dominios falsos y terminar con sus equipos infectados por malware. Danchev no menciona si la campaña de propagación es generalizada o selectiva, pero las ofertas de trabajo falsas tienen opciones de filtrar a los candidatos no deseados, por lo que se puede suponer que es una campaña dirigida.