Votre boîte de réception LinkedIn peut contenir des logiciels malveillants

L'économie instable actuelle a laissé un bon nombre de personnes à la recherche d'un nouvel emploi. Beaucoup de ces personnes utilisent LinkedIn pour rechercher de nouvelles opportunités d'emploi, mais un groupe de mauvais acteurs fait de son mieux pour faire de la recherche d'un emploi un mauvais moment.

Une nouvelle campagne de malware très élaborée a été détectée par des chercheurs en sécurité travaillant avec eSentire. Le logiciel malveillant utilisé par les pirates est appelé "more_eggs" et est une porte dérobée sans fichier, distribuée via des messages de phishing crédibles envoyés aux boîtes de réception LinkedIn des victimes.

Nous avons précédemment couvert la campagne et mentionné que ce qui la distingue, ce sont les grands efforts que les mauvais acteurs ont pris pour rendre leurs leurres de phishing aussi crédibles que possible. Les messages contiennent des fichiers d'archive malveillants, généralement des zips, qui sont nommés exactement comme la spécialisation professionnelle de la victime, mais avec le mot «position» ajouté, comme indiqué par eSentire dans son rapport complet publié un jour après l'annonce initiale de la campagne de phishing.

Une fois qu'un utilisateur LinkedIn ciblé par la campagne ouvre la fausse offre d'emploi, il lance l'installation silencieuse de la porte dérobée sans fichier more_eggs. La porte dérobée est une menace importante, car elle permet aux acteurs de la menace derrière la campagne de télécharger des fichiers malveillants supplémentaires sur le système de la victime et de prendre le contrôle du système compromis.

Les experts eSentire répertorient les acteurs de la menace derrière le malware comme une entité appelée Golden Chickens et expliquent que le malware more_eggs n'est pas exploité uniquement par eux, mais est plutôt vendu en tant que package de services à d'autres pirates qui souhaitent l'utiliser. «Malware as a service» n'est pas un concept nouveau.

Nous avons déjà vu des acteurs menaçants distribuer des ransomwares et d'autres types de logiciels malveillants en tant que service, soit contre un paiement initial, soit contre une réduction des bénéfices réalisés par les pirates tiers qui déploient les logiciels malveillants.

More_eggs est une menace importante car il détourne et utilise des processus Windows pour se déployer. Ces processus légitimes reçoivent des fonctions à exécuter à l'aide de scripts. En raison du profil bas que le logiciel malveillant maintient sur le système de la victime, étant sans fichier et abusant des processus système légitimes, le logiciel malveillant a attiré l'attention de groupes de menaces persistantes avancées notoires, notamment Cobalt Group, FIN6 et Evilnum.

eSentire a publié un certain nombre d'indicateurs de menace liés au malware more_eggs. Plus particulièrement, ils ont répertorié le hachage de fichier du fichier zip malveillant et le serveur de téléchargement utilisé par le logiciel malveillant.

Serveur: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

More_eggs hachage du fichier zip: 776c355a89d32157857113a49e516e74

Le fait que de grands acteurs de la menace manifestent de l'intérêt pour le malware more_eggs indique que l'approche très ciblée du phishing, parfois appelée spear phishing, semble fonctionner pour les pirates.

April 14, 2021
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.