„LinkedIn“ gautuosiuose gali būti kenkėjiškų programų
Dabartinė nestabili ekonomika paliko nemažai žmonių, ieškančių naujo darbo. Daugelis tų žmonių naudojasi „LinkedIn“ ieškodami naujų darbo galimybių, tačiau blogų veikėjų grupė daro viską, kad darbo ieškojimas būtų blogas laikas.
Su eSentire dirbantys saugumo tyrėjai aptiko naują, labai sudėtingą kenkėjiškų programų kampaniją. Įsilaužėlių naudojama kenkėjiška programa yra vadinama „more_eggs“ ir yra bevielis užnugaris, platinamas per patikimus sukčiavimo pranešimus, siunčiamus aukų „LinkedIn“ gautuosiuose.
Anksčiau mes nušvietėme kampaniją ir paminėjome, kad ją išskiria dideli skausmai, kuriuos patyrė blogi aktoriai, kad jų sukčiavimas būtų kuo patikimesnis. Pranešimuose yra kenkėjiškų archyvų failų, dažniausiai užtrauktukų, kurie pavadinti lygiai taip pat, kaip aukos darbo specializacija, tačiau pridedamas žodis „pozicija“, kaip „eSentire“ pranešė savo visoje ataskaitoje, kuri buvo paskelbta praėjus dienai po pirminio pranešimo apie sukčiavimo kampanija.
Kai „LinkedIn“ vartotojas, nukreiptas į kampaniją, atidaro netikrą darbo pasiūlymą, jie pradeda tylų failų užpakalinių durų „more_eggs“ diegimą. Užpakalinė duris kelia didelė grėsmė, nes tai leidžia kampanijos dalyviams, grasinimams grasinti, atsisiųsti papildomus kenkėjiškus failus į aukos sistemą ir perimti pažeistos sistemos kontrolę.
„eSentire“ ekspertai pateikia kenkėjiškų programų grėsmės veikėjus kaip subjektą, vadinamą „Golden Chickens“, ir paaiškina, kad „more_eggs“ kenkėjišką programinę įrangą valdo ne tik jie, bet ji parduodama kaip paslaugų paketas kitiems įsilaužėliams, norintiems ja naudotis. „Kenkėjiškos programos kaip paslauga“ nėra nauja sąvoka.
Anksčiau mes matėme grėsmių veikėjus, kurie išpirkos ir kitų rūšių kenkėjiškas programas platina kaip paslaugą už išankstinį mokėjimą arba už kenkėjiškų programų įdiegusių trečiųjų šalių įsilaužėlių pelno sumažinimą.
„More_eggs“ yra didelė grėsmė, nes ji užgrobia ir naudoja „Windows“ procesus, kad galėtų diegti save. Tiems teisėtiems procesams suteikiamos funkcijos vykdyti naudojant scenarijus. Dėl to, kad kenkėjiška programa aukos sistemoje išlaiko žemą profilį, ji yra nefiksuota ir piktnaudžiauja teisėtais sistemos procesais, kenkėjiška programa atkreipė žinomų pažangių nuolatinių grėsmių grupių, įskaitant „Cobalt Group“, FIN6 ir „Evilnum“, dėmesį.
„eSentire“ paskelbė daugybę grėsmės rodiklių, susijusių su kenkėjiška programa „more_eggs“. Visų pirma, jie išvardijo kenkėjiško zip failo maišos failą ir kenkėjiškos programos naudojamą atsisiuntimo serverį.
Serveris: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com
„More_eggs“ ZIP failo maišos: 776c355a89d32157857113a49e516e74
Tai, kad didelių grėsmių veikėjai domisi kenkėjiškomis programomis „more_eggs“, rodo, kad įsilaužėliams atrodo tikslingas būdas sukčiauti, kartais vadinamas „spear phishing“.