Werk uit in het volume van phishing-aanvallen op LinkedIn

Een nieuwe campagne van phishingaanvallen richt zich op LinkedIn-gebruikers met verrassend geavanceerde kwaadaardige berichten. De campagne is gericht op mensen die momenteel geen baan hebben en op zoek zijn naar nieuwe kansen, en dat zijn er natuurlijk genoeg in de huidige krimpende economie en de wereldwijde pandemische situatie.

De nieuwe campagne werd gerapporteerd door beveiligingsonderzoekers die samenwerkten met cybersecuritybedrijf eSentire.

De nieuwe aanvallen worden uitgevoerd met behulp van een bestandsloze malware die bekend staat als 'more_eggs'. De malware fungeert als een achterdeur en voert een script uit dat een aantal systeemfuncties gebruikt die het systeem van het slachtoffer binnendringen. De huidige campagne maakt gebruik van een gecomprimeerd bestand met de naam van de LinkedIn-titel van het slachtoffer. Het gecomprimeerde bestand bevat een snelkoppeling .lnk-bestand dat het script uitvoert.

Wat interessant is aan deze aanval, is de verfijning en zorg die de slechte acteurs in hun phishing-kunstaas stoppen. De aanvallen zijn specifiek afgestemd op individuen en er is grote zorg besteed om het aas zo legitiem mogelijk te laten lijken.

Oude trucs, meer moeite

Dit is niet de eerste keer dat more_eggs wordt gebruikt voor phishingaanvallen. In 2019 werd een oudere versie van de malware gebruikt om LinkedIn-gebruikers opnieuw te targeten. In 2019 vertrouwden de bedreigingsactoren op nepprofielen om contact op te nemen met hun slachtoffers, waarbij ze soms veel geduld toonden en het eerste contact een week later volgden, wat een vals gevoel van veiligheid creëerde bij hun doelwitten.

Bestandsloze malware zoals more_eggs is ook een zeer ernstige bedreiging. Schadelijke software zonder bestanden is in het algemeen een stuk moeilijker te detecteren en te stoppen. Een groot deel van de antivirus- en antimalwaresoftwarefunctionaliteit is afhankelijk van bestandshash en het scannen van bestanden op patronen, wat onmogelijk wordt met bestandsloze malware in het parameterveld van een snelkoppelingsbestand.

Statistieken die onlangs door beveiligingsbedrijf WatchGuard zijn gepubliceerd, toonden aan dat bestandsloze malwaredetecties het afgelopen jaar bijna vertienvoudigd zijn, wat een zeer gerichte duw in de richting van breder gebruik laat zien.

Rob McLeod, senior directeur van eSentire's Threat Response Unit, merkte op dat een veelzijdige aanpak nodig is om soortgelijke aanvallen tegen te gaan. Opleiding van medewerkers is nog steeds essentieel als het erom gaat dat eindgebruikers oplichting en kwaadaardige berichten en bijlagen kunnen detecteren, zelfs zonder de hulp van antimalwaresoftware in te hoeven schakelen. De endpoints die bij de aanvallen worden aangetast, moeten ook naar beste vermogen van het bedrijf worden beschermd, zelfs in de huidige omstandigheden, waarin veel werknemers thuis werken.