LinkedIn-innboksen din kan inneholde skadelig programvare

Den nåværende ustabile økonomien har fått mange mennesker på jakt etter en ny jobb. Mange av disse brukerne bruker LinkedIn for å søke nye jobbmuligheter, men en gruppe dårlige skuespillere gjør sitt beste for å gjøre det vanskelig å lete etter en jobb.

En ny, veldig forseggjort skadelig kampanje har blitt oppdaget av sikkerhetsforskere som jobber med eSentire. Skadelig programvare som brukes av hackerne kalles "more_eggs" og er en fileløs bakdør, distribuert gjennom troverdige phishing-meldinger sendt til ofrenes LinkedIn-innbokser.

Vi dekket tidligere kampanjen og nevnte at det som skiller den er de store smertene som de dårlige skuespillerne tok for å få deres phishing-lokker til å se så troverdig ut som mulig. Meldingene inneholder ondsinnede arkivfiler, vanligvis glidelåser, som heter nøyaktig som jobbspesialiseringen til offeret, men med ordet "posisjon" lagt til, som rapportert av eSentire i sin fulle rapport som kom ut en dag etter den opprinnelige kunngjøringen om phishing-kampanje.

Når en LinkedIn-bruker målrettet av kampanjen åpner det falske jobbtilbudet, lanserer de den tause installasjonen av den filøse bakdøren more_eggs. Bakdøren er en betydelig trussel, da den lar trusselaktørene bak kampanjen laste ned flere ondsinnede filer på offerets system og ta kontroll over det kompromitterte systemet.

eSentire-eksperter lister opp trusselaktørene bak skadelig programvare som en enhet som heter Golden Chickens og forklarer at more_eggs malware ikke bare drives av dem, men selges heller som en tjenestepakke til andre hackere som vil bruke den. "Malware as a service" er ikke et nytt konsept.

Vi har tidligere sett trusselaktører som distribuerer ransomware og andre typer skadelig programvare som en tjeneste, enten mot forhåndsbetaling eller mot et kutt i fortjenesten fra tredjeparts hackere som distribuerer skadelig programvare.

More_eggs er en betydelig trussel fordi den kaprer og bruker Windows-prosesser for å distribuere seg selv. Disse legitime prosessene får funksjoner å utføre ved hjelp av skript. På grunn av den lave profilen som skadelig programvare opprettholder på offerets system, fordi den er filøs og misbruker legitime systemprosesser, har skadelig programvare tiltrukket seg oppmerksomhet fra beryktede avanserte vedvarende trusselgrupper, inkludert Cobalt Group, FIN6 og Evilnum.

eSentire har publisert en rekke trusselindikatorer knyttet til more_eggs malware. Spesielt listet de filhashen til den ondsinnede zip-filen og nedlastingsserveren som brukes av skadelig programvare.

Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

More_eggs zip-fil hash: 776c355a89d32157857113a49e516e74

Det faktum at store trusselsaktører viser interesse for more_eggs malware, indikerer at den svært målrettede tilnærmingen til phishing, noen ganger kalt spear phishing, ser ut til å fungere for hackerne.