Twoja skrzynka odbiorcza LinkedIn może zawierać złośliwe oprogramowanie
Obecna niestabilna gospodarka spowodowała, że sporo osób szukało nowej pracy. Wiele z tych osób korzysta z LinkedIn, aby szukać nowych ofert pracy, ale grupa złych aktorów robi wszystko, co w ich mocy, aby szukanie pracy było dla nich złym czasem.
Badacze bezpieczeństwa pracujący z eSentire wykryli nową, bardzo rozbudowaną kampanię złośliwego oprogramowania. Złośliwe oprogramowanie wykorzystywane przez hakerów nazywa się „more_eggs” i jest bezplikowym backdoorem, rozpowszechnianym za pośrednictwem wiarygodnych wiadomości phishingowych wysyłanych do skrzynek odbiorczych na LinkedIn ofiar.
Wcześniej opisywaliśmy kampanię i wspomnieliśmy, że to, co ją wyróżnia, to wielki wysiłek, jaki włożyli źli aktorzy, aby ich przynęty phishingowe wyglądały jak najbardziej wiarygodnie. Wiadomości zawierają złośliwe pliki archiwów, zwykle zipy, które są nazwane dokładnie tak, jak specjalizacja zawodowa ofiary, ale z dołączonym słowem „stanowisko”, jak donosi eSentire w swoim pełnym raporcie, który pojawił się dzień po pierwotnym ogłoszeniu kampania phishingowa.
Gdy użytkownik LinkedIn, na który skierowana jest kampania, otworzy fałszywą ofertę pracy, uruchamia cichą instalację bezplikowego backdoora more_eggs. Backdoor jest poważnym zagrożeniem, ponieważ umożliwia aktorom zagrożenia stojącym za kampanią pobranie dodatkowych szkodliwych plików w systemie ofiary i przejęcie kontroli nad zaatakowanym systemem.
Eksperci eSentire wymieniają aktorów zagrożeń stojących za tym złośliwym oprogramowaniem jako podmiot o nazwie Golden Chickens i wyjaśniają, że złośliwe oprogramowanie more_eggs nie jest obsługiwane tylko przez nich, ale jest raczej sprzedawane jako pakiet usług innym hakerom, którzy chcą go używać. „Złośliwe oprogramowanie jako usługa” nie jest nową koncepcją.
Wcześniej widzieliśmy podmioty zagrażające rozpowszechniające oprogramowanie ransomware i inne rodzaje złośliwego oprogramowania jako usługę, albo w zamian za płatność z góry, albo w zamian za cięcie zysków osiągniętych przez zewnętrznych hakerów, którzy wdrażają to złośliwe oprogramowanie.
More_eggs jest poważnym zagrożeniem, ponieważ przechwytuje i wykorzystuje procesy systemu Windows do wdrażania się. Te legalne procesy otrzymują funkcje do wykonania za pomocą skryptów. Ze względu na niski profil złośliwego oprogramowania w systemie ofiary, bezplikowy i nadużywający legalnych procesów systemowych, szkodliwe oprogramowanie przyciągnęło uwagę znanych, zaawansowanych, trwałych grup zagrożeń, w tym Cobalt Group, FIN6 i Evilnum.
Serwis eSentire opublikował szereg wskaźników zagrożeń związanych ze złośliwym oprogramowaniem more_eggs. Przede wszystkim wymienili skrót pliku złośliwego pliku zip oraz serwer pobierania używany przez to złośliwe oprogramowanie.
Serwer: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com
Skrót pliku ZIP More_eggs: 776c355a89d32157857113a49e516e74
Fakt, że cyberprzestępcy okazują zainteresowanie złośliwym oprogramowaniem more_eggs, wskazuje, że wysoce ukierunkowane podejście do phishingu, czasami nazywane spear phishingiem, wydaje się działać w przypadku hakerów.