Votre boîte de réception LinkedIn peut contenir des logiciels malveillants
L'économie instable actuelle a laissé un bon nombre de personnes à la recherche d'un nouvel emploi. Beaucoup de ces personnes utilisent LinkedIn pour rechercher de nouvelles opportunités d'emploi, mais un groupe de mauvais acteurs fait de son mieux pour faire de la recherche d'un emploi un mauvais moment.
Une nouvelle campagne de malware très élaborée a été détectée par des chercheurs en sécurité travaillant avec eSentire. Le logiciel malveillant utilisé par les pirates est appelé "more_eggs" et est une porte dérobée sans fichier, distribuée via des messages de phishing crédibles envoyés aux boîtes de réception LinkedIn des victimes.
Nous avons précédemment couvert la campagne et mentionné que ce qui la distingue, ce sont les grands efforts que les mauvais acteurs ont pris pour rendre leurs leurres de phishing aussi crédibles que possible. Les messages contiennent des fichiers d'archive malveillants, généralement des zips, qui sont nommés exactement comme la spécialisation professionnelle de la victime, mais avec le mot «position» ajouté, comme indiqué par eSentire dans son rapport complet publié un jour après l'annonce initiale de la campagne de phishing.
Une fois qu'un utilisateur LinkedIn ciblé par la campagne ouvre la fausse offre d'emploi, il lance l'installation silencieuse de la porte dérobée sans fichier more_eggs. La porte dérobée est une menace importante, car elle permet aux acteurs de la menace derrière la campagne de télécharger des fichiers malveillants supplémentaires sur le système de la victime et de prendre le contrôle du système compromis.
Les experts eSentire répertorient les acteurs de la menace derrière le malware comme une entité appelée Golden Chickens et expliquent que le malware more_eggs n'est pas exploité uniquement par eux, mais est plutôt vendu en tant que package de services à d'autres pirates qui souhaitent l'utiliser. «Malware as a service» n'est pas un concept nouveau.
Nous avons déjà vu des acteurs menaçants distribuer des ransomwares et d'autres types de logiciels malveillants en tant que service, soit contre un paiement initial, soit contre une réduction des bénéfices réalisés par les pirates tiers qui déploient les logiciels malveillants.
More_eggs est une menace importante car il détourne et utilise des processus Windows pour se déployer. Ces processus légitimes reçoivent des fonctions à exécuter à l'aide de scripts. En raison du profil bas que le logiciel malveillant maintient sur le système de la victime, étant sans fichier et abusant des processus système légitimes, le logiciel malveillant a attiré l'attention de groupes de menaces persistantes avancées notoires, notamment Cobalt Group, FIN6 et Evilnum.
eSentire a publié un certain nombre d'indicateurs de menace liés au malware more_eggs. Plus particulièrement, ils ont répertorié le hachage de fichier du fichier zip malveillant et le serveur de téléchargement utilisé par le logiciel malveillant.
Serveur: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com
More_eggs hachage du fichier zip: 776c355a89d32157857113a49e516e74
Le fait que de grands acteurs de la menace manifestent de l'intérêt pour le malware more_eggs indique que l'approche très ciblée du phishing, parfois appelée spear phishing, semble fonctionner pour les pirates.