A LinkedIn beérkező levelek tartalmazhatnak rosszindulatú programokat

A jelenlegi instabil gazdaság jó néhány embert keresett új munkahely után. Sokan használják a LinkedIn-t új munkalehetőségek keresésére, de a rossz szereplők egy csoportja mindent megtesz annak érdekében, hogy az álláskeresés rossz idő legyen.

Új, nagyon bonyolult rosszindulatú kampányt fedeztek fel az eSentire-mel dolgozó biztonsági kutatók. A hackerek által használt rosszindulatú program "more_eggs" néven fut, és fájl nélküli háttérajtó, amelyet az áldozatok LinkedIn postaládájába küldött, hihető adathalász üzenetek útján terjesztenek.

Korábban ismertettük a kampányt, és megemlítettük, hogy ami megkülönbözteti, az a nagy fájdalom, amelyet a rossz színészek megtettek, hogy az adathalász csalik minél hihetőbbek legyenek. Az üzenetek rosszindulatú archív fájlokat, általában cipzárakat tartalmaznak, amelyek pontosan úgy vannak megnevezve, mint az áldozat munkaköri szakterülete, de a „pozíció” szóval egészül ki, amint arról az eSentire beszámolt teljes jelentésében, amely egy nappal az eredeti bejelentés után jelent meg. adathalász kampány.

Amint a kampány által megcélzott LinkedIn felhasználó megnyitja a hamis állásajánlatot, elindítja a fájl nélküli hátsó ajtó more_eggs csendes telepítését. A hátsó ajtó jelentős fenyegetést jelent, mivel lehetővé teszi, hogy a kampány mögött álló fenyegetett szereplők további rosszindulatú fájlokat töltsenek le az áldozat rendszerére, és átvegyék az irányítást a veszélyeztetett rendszer felett.

Az eSentire szakértői a rosszindulatú programok mögött álló fenyegetési szereplőket Golden Chickens nevű entitásként sorolják fel, és elmagyarázzák, hogy a more_eggs rosszindulatú programot nem csak ők működtetik, hanem inkább szolgáltatáscsomagként értékesítik más hackerek számára, akik használni akarják. A "rosszindulatú program mint szolgáltatás" nem új fogalom.

Korábban láttuk, hogy a fenyegetés szereplői ransomware-t és más típusú rosszindulatú programokat terjesztenek szolgáltatásként, akár előzetes fizetés ellenében, akár a kártevőt telepítő harmadik felektől származó hackerek nyereségének csökkentésével szemben.

A More_eggs jelentős fenyegetést jelent, mert eltéríti és felhasználja a Windows folyamatokat a telepítéshez. Ezek a legitim folyamatok funkciókat kapnak a szkriptek használatával történő végrehajtásra. A rosszindulatú programok által az áldozat rendszerében fenntartott alacsony profil miatt, a fájlok nélkül és visszaélve a törvényes rendszerfolyamatokkal, a rosszindulatú programok figyelemre méltó hírhedt, fejlett tartós fenyegetési csoportok, köztük a Cobalt Group, a FIN6 és az Evilnum figyelmét.

Az eSentire számos fenyegetési mutatót tett közzé a more_eggs kártevővel kapcsolatban. Legfőképpen felsorolták a kártékony zip fájl fájlkivonatát és a kártevő által használt letöltőkiszolgálót.

Szerver: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

More_eggs zip fájl kivonata: 776c355a89d32157857113a49e516e74

Az a tény, hogy a nagy fenyegetésű szereplők érdeklődést mutatnak a more_eggs kártevő iránt, azt jelzi, hogy az adathalászat célzott megközelítése, amelyet néha lándzsás adathalásznak is hívnak, a hackerek számára beváltnak tűnik.