Uw LinkedIn-inbox bevat mogelijk malware
Door de huidige onstabiele economie zijn heel wat mensen op zoek naar een nieuwe baan. Veel van die mensen gebruiken LinkedIn om nieuwe vacatures te zoeken, maar een groep slechte acteurs doet hun best om het zoeken naar een baan een slechte tijd te maken.
Een nieuwe, zeer uitgebreide malwarecampagne is gedetecteerd door beveiligingsonderzoekers die met eSentire werken. De malware die door de hackers wordt gebruikt, wordt "more_eggs" genoemd en is een bestandsloze achterdeur, verspreid via geloofwaardige phishing-berichten die naar de LinkedIn-inbox van de slachtoffers worden gestuurd.
We hebben eerder de campagne besproken en gezegd dat wat het onderscheidt, de grote moeite is die de slechte acteurs hebben gedaan om hun phishing-lokaas er zo geloofwaardig mogelijk uit te laten zien. De berichten bevatten kwaadaardige archiefbestanden, meestal ritssluitingen, die precies dezelfde naam hebben als de jobspecialisatie van het slachtoffer, maar met het woord 'positie' eraan toegevoegd, zoals gerapporteerd door eSentire in hun volledige rapport dat een dag na de oorspronkelijke aankondiging van de phishing-campagne.
Zodra een LinkedIn-gebruiker waarop de campagne is gericht, de nep-vacature opent, starten ze de stille installatie van de bestandsloze achterdeur more_eggs. De achterdeur vormt een aanzienlijke bedreiging, omdat de bedreigingsactoren achter de campagne aanvullende kwaadaardige bestanden op het systeem van het slachtoffer kunnen downloaden en de controle kunnen krijgen over het gecompromitteerde systeem.
Experts van eSentire noemen de bedreigingsactoren achter de malware als een entiteit genaamd Golden Chickens en leggen uit dat de malware more_eggs niet alleen door hen wordt beheerd, maar eerder als een servicepakket wordt verkocht aan andere hackers die het willen gebruiken. "Malware as a service" is geen nieuw concept.
We hebben eerder gezien dat bedreigingsactoren ransomware en andere soorten malware als een service verspreidden, hetzij tegen betaling vooraf, hetzij tegen een verlaging van de winst van de externe hackers die de malware inzetten.
More_eggs is een aanzienlijke bedreiging omdat het Windows-processen kaapt en gebruikt om zichzelf te implementeren. Die legitieme processen krijgen functies om uit te voeren met behulp van scripts. Vanwege het lage profiel dat de malware op het systeem van het slachtoffer handhaaft, bestandsloos is en legitieme systeemprocessen misbruikt, heeft de malware de aandacht getrokken van beruchte geavanceerde aanhoudende dreigingsgroepen, waaronder Cobalt Group, FIN6 en Evilnum.
eSentire heeft een aantal dreigingsindicatoren gepubliceerd met betrekking tot de more_eggs-malware. Met name vermeldden ze de bestandshash van het kwaadaardige zipbestand en de downloadserver die door de malware werd gebruikt.
Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com
More_eggs zip-bestand hash: 776c355a89d32157857113a49e516e74
Het feit dat grote bedreigingsactoren interesse tonen in de more_eggs-malware geeft aan dat de zeer gerichte aanpak van phishing, ook wel spearphishing genoemd, lijkt te werken voor de hackers.
