Omfattende LinkedIn-phishing angriper økning i volum

En ny kampanje med phishing-angrep retter seg mot LinkedIn-brukere med overraskende sofistikerte ondsinnede meldinger. Kampanjen er rettet mot folk som for tiden er ute av jobb og leter etter nye muligheter, og det er åpenbart mange av dem i den nåværende krympende økonomien og den globale pandemisituasjonen.

Den nye kampanjen ble rapportert av sikkerhetsforskere som jobber med cybersecurity-selskapet eSentire.

De nye angrepene utføres ved hjelp av en fileløs malware kjent som 'more_eggs'. Skadelig programvare fungerer som en bakdør og utfører et skript som bruker en rekke systemfunksjoner som ender med å bryte offerets system. Den nåværende kampanjen bruker en komprimert fil med navnet offerets LinkedIn-tittel. Den komprimerte filen inneholder en snarvei .lnk-fil som kjører skriptet.

Det som er interessant med dette angrepet er sofistikering og omsorg som de dårlige skuespillerne legger i deres phishing-lokker. Angrepene er skreddersydd spesielt for å være rettet mot enkeltpersoner, og det er lagt stor vekt på å få lokket til å virke så legitimt som mulig.

Gamle triks, mer innsats

Dette er ikke første gang more_eggs blir brukt til phishing-angrep. Tilbake i 2019 ble en eldre versjon av skadelig programvare brukt til å målrette LinkedIn-brukere igjen. Tilbake i 2019 stolte trusselaktørene på falske profiler for å kontakte ofrene, noen ganger med betydelig tålmodighet og fulgte den første kontakten en hel uke senere, og skapte en falsk følelse av sikkerhet i målene.

Fileløs skadelig programvare som more_eggs er også en veldig alvorlig trussel. Fileløs skadelig programvare generelt er mye vanskeligere å oppdage og stoppe. En stor del av antivirus- og antimalwareprogramvarefunksjonaliteten er avhengig av filhash og skanning av filer for mønstre, noe som blir umulig med fileløs malware som finnes i parameterboksen til en snarveifil.

Statistikk som nylig ble publisert av sikkerhetsselskapet WatchGuard, viste at fileløs deteksjon av skadelig programvare har vokst nesten ti ganger i løpet av det siste året, noe som viser et veldig fokusert press mot bredere bruk.

Rob McLeod, seniordirektør for eSentires trusselresponsenhet, kommenterte at en mangesidig tilnærming er nødvendig for å motvirke lignende angrep. Opplæring av ansatte er fortsatt viktig når det gjelder sluttbrukere som kan oppdage svindel og ondsinnede meldinger og vedlegg, selv uten å måtte ty til hjelp av antimalwareprogramvare. Endepunktene som er kompromittert i angrepene, bør også beskyttes til selskapets beste evne, selv under de nåværende forhold, der mange ansatte jobber hjemmefra.