Din LinkedIn-indbakke kan indeholde malware

Den nuværende ustabile økonomi har efterladt en hel del mennesker på udkig efter et nyt job. Mange af disse mennesker bruger LinkedIn til at søge nye jobmuligheder, men en gruppe dårlige skuespillere gør deres bedste for at søge et job til en dårlig tid.

En ny, meget detaljeret malware-kampagne er blevet opdaget af sikkerhedsforskere, der arbejder med eSentire. Den malware, der bruges af hackerne, kaldes "more_eggs" og er en fileløs bagdør, der distribueres gennem troværdige phishing-meddelelser sendt til ofrenes LinkedIn-indbakker.

Vi dækkede tidligere kampagnen og nævnte, at hvad der adskiller den er de store smerter, som de dårlige skuespillere tog for at få deres phishing-lokker til at se så troværdige ud som muligt. Beskederne indeholder ondsindede arkivfiler, normalt lynlåse, der navngives nøjagtigt som ofrets jobspecialisering, men med ordet "position" tilføjet, som rapporteret af eSentire i deres fulde rapport, der kom ud en dag efter den oprindelige meddelelse om phishing-kampagne.

Når en LinkedIn-bruger, der er målrettet mod kampagnen, åbner det falske jobtilbud, lancerer de den tavse installation af den filøse bagdør more_eggs. Bagdøren er en betydelig trussel, da den gør det muligt for trusselaktørerne bag kampagnen at downloade yderligere ondsindede filer på offerets system og tage kontrol over det kompromitterede system.

eSentire-eksperter viser trusselsaktørerne bag malware som en enhed kaldet Golden Chickens og forklarer, at the more_eggs malware ikke kun drives af dem, men snarere sælges som en servicepakke til andre hackere, der ønsker at bruge den. "Malware som en tjeneste" er ikke et nyt koncept.

Vi har tidligere set trusselsaktører, der distribuerer ransomware og andre typer malware som en tjeneste, enten mod forudbetaling eller mod en nedskæring af fortjenesten fra tredjeparts-hackere, der implementerer malware.

More_eggs er en betydelig trussel, fordi den kaprer og bruger Windows-processer til at implementere sig selv. Disse legitime processer får funktioner til at udføre ved hjælp af scripts. På grund af den lave profil, som malware opretholder på ofrets system, fordi den er fileløs og misbruger legitime systemprocesser, har malware tiltrukket opmærksomhed fra berygtede avancerede vedvarende trusselgrupper, herunder Cobalt Group, FIN6 og Evilnum.

eSentire har offentliggjort en række trusselindikatorer relateret til more_eggs malware. Mest bemærkelsesværdigt oplistede de filhashen for den ondsindede zip-fil og downloadserveren, der blev brugt af malware.

Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

More_eggs zip-fil hash: 776c355a89d32157857113a49e516e74

Det faktum, at store trusselsaktører viser interesse for den mere_eggs malware, indikerer, at den meget målrettede tilgang til phishing, undertiden kaldet spear phishing, ser ud til at fungere for hackerne.