La tua casella di posta LinkedIn potrebbe contenere malware
L'attuale economia instabile ha lasciato molte persone in cerca di un nuovo lavoro. Molte di queste persone utilizzano LinkedIn per cercare nuove opportunità di lavoro, ma un gruppo di cattivi attori sta facendo del proprio meglio per rendere la ricerca di un lavoro un brutto momento.
Una nuova campagna di malware molto elaborata è stata rilevata dai ricercatori di sicurezza che lavorano con eSentire. Il malware utilizzato dagli hacker si chiama "more_eggs" ed è una backdoor senza file, distribuita tramite messaggi di phishing credibili inviati alle caselle di posta LinkedIn delle vittime.
In precedenza abbiamo coperto la campagna e abbiamo detto che ciò che la contraddistingue sono i grandi sforzi che i cattivi attori hanno fatto per rendere le loro esche di phishing il più credibili possibile. I messaggi contengono file di archivio dannosi, di solito zip, che sono denominati esattamente come la specializzazione del lavoro della vittima, ma con la parola "posizione" aggiunta, come riportato da eSentire nel loro rapporto completo che è uscito un giorno dopo l'annuncio originale del campagna di phishing.
Una volta che un utente LinkedIn preso di mira dalla campagna apre la falsa offerta di lavoro, avvia l'installazione silenziosa della backdoor senza file more_eggs. La backdoor è una minaccia significativa, in quanto consente agli autori delle minacce dietro la campagna di scaricare file dannosi aggiuntivi sul sistema della vittima e assumere il controllo del sistema compromesso.
Gli esperti di eSentire elencano gli attori della minaccia dietro il malware come un'entità chiamata Golden Chickens e spiegano che il malware more_eggs non è gestito solo da loro, ma è piuttosto venduto come pacchetto di servizi ad altri hacker che desiderano utilizzarlo. "Malware as a service" non è un concetto nuovo.
In precedenza abbiamo visto autori di minacce distribuire ransomware e altri tipi di malware come servizio, contro il pagamento anticipato o contro una riduzione dei profitti realizzati dagli hacker di terze parti che distribuiscono il malware.
More_eggs è una minaccia significativa perché dirotta e utilizza i processi di Windows per distribuirsi. A questi processi legittimi vengono fornite funzioni da eseguire utilizzando script. A causa del basso profilo che il malware mantiene sul sistema della vittima, essendo privo di file e abusando dei processi di sistema legittimi, il malware ha attirato l'attenzione di noti gruppi di minacce persistenti avanzate tra cui Cobalt Group, FIN6 ed Evilnum.
eSentire ha pubblicato una serie di indicatori di minaccia relativi al malware more_eggs. In particolare, hanno elencato l'hash del file zip dannoso e il server di download utilizzato dal malware.
Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com
Hash del file zip More_eggs: 776c355a89d32157857113a49e516e74
Il fatto che i grandi attori delle minacce mostrino interesse per il malware more_eggs indica che l'approccio altamente mirato al phishing, a volte chiamato spear phishing, sembra funzionare per gli hacker.
