Su bandeja de entrada de LinkedIn puede contener software malintencionado

La inestable economía actual ha dejado a bastantes personas en busca de un nuevo trabajo. Muchas de esas personas están usando LinkedIn para buscar nuevas oportunidades laborales, pero un grupo de malos actores está haciendo todo lo posible para que la búsqueda de un trabajo sea un mal momento.

Los investigadores de seguridad que trabajan con eSentire han detectado una nueva campaña de malware muy elaborada. El malware utilizado por los piratas informáticos se llama "more_eggs" y es una puerta trasera sin archivos, distribuida a través de mensajes de phishing creíbles enviados a las bandejas de entrada de LinkedIn de las víctimas.

Anteriormente cubrimos la campaña y mencionamos que lo que la distingue son los grandes esfuerzos que los malos actores se tomaron para hacer que sus señuelos de phishing parezcan lo más creíbles posible. Los mensajes contienen archivos maliciosos, por lo general cremalleras, que se denominan exactamente como la especialización laboral de la víctima, pero con la palabra "puesto" adjunta, como informó eSentire en su informe completo que salió un día después del anuncio original del campaña de phishing.

Una vez que un usuario de LinkedIn objetivo de la campaña abre la oferta de trabajo falsa, inicia la instalación silenciosa de la puerta trasera sin archivos more_eggs. La puerta trasera es una amenaza significativa, ya que permite a los actores de amenazas detrás de la campaña descargar archivos maliciosos adicionales en el sistema de la víctima y tomar el control del sistema comprometido.

Los expertos de eSentire enumeran a los actores de amenazas detrás del malware como una entidad llamada Golden Chickens y explican que el malware more_eggs no es operado solo por ellos, sino que se vende como un paquete de servicio a otros piratas informáticos que desean usarlo. El "software malicioso como servicio" no es un concepto nuevo.

Anteriormente, hemos visto a los actores de amenazas distribuir ransomware y otros tipos de malware como un servicio, ya sea contra el pago por adelantado o contra una parte de las ganancias obtenidas por los piratas informáticos externos que implementan el malware.

More_eggs es una amenaza importante porque secuestra y utiliza los procesos de Windows para implementarse. A esos procesos legítimos se les asignan funciones para ejecutar mediante scripts. Debido al bajo perfil que mantiene el malware en el sistema de la víctima, al no tener archivos y abusar de los procesos legítimos del sistema, el malware ha atraído la atención de notorios grupos avanzados de amenazas persistentes, incluidos Cobalt Group, FIN6 y Evilnum.

eSentire ha publicado una serie de indicadores de amenazas relacionados con el malware more_eggs. En particular, enumeraron el hash de archivo del archivo zip malicioso y el servidor de descarga utilizado por el malware.

Servidor: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

Hash del archivo zip More_eggs: 776c355a89d32157857113a49e516e74

El hecho de que los grandes actores de amenazas estén mostrando interés en el malware more_eggs indica que el enfoque altamente dirigido al phishing, a veces llamado spear phishing, parece estar funcionando para los piratas informáticos.

April 14, 2021
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.