Τα εισερχόμενά σας στο LinkedIn ενδέχεται να περιέχουν κακόβουλο λογισμικό

Η τρέχουσα ασταθής οικονομία έχει αφήσει αρκετούς ανθρώπους να αναζητούν νέα δουλειά. Πολλοί από αυτούς τους ανθρώπους χρησιμοποιούν το LinkedIn για να αναζητήσουν νέες ευκαιρίες εργασίας, αλλά μια ομάδα κακών ηθοποιών κάνει ό, τι μπορεί για να κάνει μια αναζήτηση εργασίας για μια κακή στιγμή.

Μια νέα, πολύ περίπλοκη καμπάνια κακόβουλου λογισμικού εντοπίστηκε από ερευνητές ασφαλείας που συνεργάζονται με το eSentire. Το κακόβουλο λογισμικό που χρησιμοποιείται από τους χάκερ ονομάζεται "more_eggs" και είναι ένα αρχείο χωρίς πόρτα, διανέμεται μέσω αξιόπιστων μηνυμάτων ηλεκτρονικού "ψαρέματος" που αποστέλλονται στα εισερχόμενα LinkedIn των θυμάτων.

Στο παρελθόν καλύψαμε την καμπάνια και αναφέραμε ότι αυτό που την ξεχωρίζει είναι οι μεγάλοι πόνοι που έκαναν οι κακοί ηθοποιοί για να κάνουν τα ψεύτικα θέλγητά τους να φαίνονται όσο πιο πιστά γίνεται. Τα μηνύματα περιέχουν κακόβουλα αρχεία αρχειοθέτησης, συνήθως φερμουάρ, τα οποία ονομάζονται ακριβώς όπως η εξειδίκευση της εργασίας του θύματος, αλλά με τη λέξη "θέση" επισυνάπτεται, όπως ανέφερε το eSentire στην πλήρη έκθεσή του που βγήκε μια ημέρα μετά την αρχική ανακοίνωση του εκστρατεία ηλεκτρονικού ψαρέματος.

Μόλις ένας χρήστης του LinkedIn που στοχεύει η καμπάνια ανοίγει την ψεύτικη προσφορά εργασίας, ξεκινούν τη σιωπηλή εγκατάσταση του fileless backdoor more_eggs. Το backdoor είναι μια σημαντική απειλή, καθώς επιτρέπει στους παράγοντες απειλής πίσω από την καμπάνια να κατεβάσουν επιπλέον κακόβουλα αρχεία στο σύστημα του θύματος και να πάρουν τον έλεγχο του παραβιασμένου συστήματος.

Οι ειδικοί του eSentire απαριθμούν τους παράγοντες απειλής πίσω από το κακόβουλο λογισμικό ως οντότητα που ονομάζεται Golden Chickens και εξηγούν ότι το κακόβουλο λογισμικό more_eggs δεν χρησιμοποιείται μόνο από αυτούς, αλλά μάλλον πωλείται ως πακέτο υπηρεσιών σε άλλους χάκερ που θέλουν να το χρησιμοποιήσουν. Το "κακόβουλο λογισμικό ως υπηρεσία" δεν είναι μια νέα ιδέα.

Έχουμε δει προηγουμένως απειλητικούς παράγοντες να διανέμουν ransomware και άλλους τύπους κακόβουλου λογισμικού ως υπηρεσία, είτε έναντι προκαταβολής είτε κατά περικοπής του κέρδους που έχουν γίνει από τρίτους χάκερ που αναπτύσσουν το κακόβουλο λογισμικό.

Το More_eggs είναι μια σημαντική απειλή επειδή παραβιάζει και χρησιμοποιεί τις διαδικασίες των Windows για να αναπτυχθεί. Σε αυτές τις νόμιμες διαδικασίες δίνονται λειτουργίες για εκτέλεση χρησιμοποιώντας σενάρια. Λόγω του χαμηλού προφίλ που διατηρεί το κακόβουλο λογισμικό στο σύστημα του θύματος, επειδή είναι άψογο και κατάχρηση νόμιμων διαδικασιών συστήματος, το κακόβουλο λογισμικό έχει προσελκύσει την προσοχή διαβόητων προηγμένων ομάδων επίμονων απειλών, συμπεριλαμβανομένων των Cobalt Group, FIN6 και Evilnum.

Το eSentire δημοσίευσε έναν αριθμό δεικτών απειλής που σχετίζονται με το κακόβουλο λογισμικό more_eggs. Πιο συγκεκριμένα, ανέφεραν τον κατακερματισμό του κακόβουλου αρχείου zip και τον διακομιστή λήψης που χρησιμοποιείται από το κακόβουλο λογισμικό.

Διακομιστής: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

Περισσότερα_eggs hash file zip: 776c355a89d32157857113a49e516e74

Το γεγονός ότι οι μεγάλοι απειλητικοί ηθοποιοί δείχνουν ενδιαφέρον για το κακόβουλο λογισμικό more_eggs υποδηλώνει ότι η εξαιρετικά στοχευμένη προσέγγιση για το ηλεκτρονικό ψάρεμα (phishing), μερικές φορές ονομάζεται spear phishing, φαίνεται να λειτουργεί για τους hackers.