Sua caixa de entrada do LinkedIn pode conter malware
A economia instável atual deixou algumas pessoas procurando um novo emprego. Muitas dessas pessoas estão usando o LinkedIn para buscar novas oportunidades de emprego, mas um grupo de malfeitores está fazendo o seu melhor para tornar a procura de um emprego um momento ruim.
Uma nova campanha de malware muito elaborada foi detectada por pesquisadores de segurança que trabalham com o eSentire. O malware usado pelos hackers é chamado de "more_eggs" e é um backdoor sem arquivo, distribuído por meio de mensagens de phishing confiáveis enviadas para as caixas de entrada do LinkedIn das vítimas.
Anteriormente, cobrimos a campanha e mencionamos que o que a diferencia são os grandes esforços que os malfeitores tomam para fazer com que suas iscas de phishing pareçam o mais confiáveis possível. As mensagens contêm arquivos maliciosos, geralmente zips, que são nomeados exatamente como a especialização de trabalho da vítima, mas com a palavra "posição" anexada, conforme relatado pelo eSentire em seu relatório completo publicado um dia após o anúncio original do campanha de phishing.
Assim que um usuário do LinkedIn visado pela campanha abre a falsa oferta de emprego, ele lança a instalação silenciosa do backdoor sem arquivo more_eggs. O backdoor é uma ameaça significativa, pois permite que os agentes da ameaça por trás da campanha baixem arquivos maliciosos adicionais no sistema da vítima e assumam o controle do sistema comprometido.
Os especialistas da eSentire listam os agentes de ameaça por trás do malware como uma entidade chamada Golden Chickens e explicam que o malware more_eggs não é operado apenas por eles, mas é vendido como um pacote de serviço para outros hackers que desejam usá-lo. "Malware como serviço" não é um conceito novo.
Já vimos agentes de ameaças distribuindo ransomware e outros tipos de malware como serviço, seja contra o pagamento adiantado ou contra uma redução do lucro obtido pelos hackers terceirizados que implantam o malware.
More_eggs é uma ameaça significativa porque sequestra e usa processos do Windows para se implantar. Esses processos legítimos recebem funções para executar usando scripts. Devido ao baixo perfil que o malware mantém no sistema da vítima, sendo sem arquivo e abusando de processos legítimos do sistema, o malware atraiu a atenção de notórios grupos de ameaças persistentes avançadas, incluindo Cobalt Group, FIN6 e Evilnum.
O eSentire publicou vários indicadores de ameaças relacionados ao malware more_eggs. Mais notavelmente, eles listaram o hash do arquivo zip malicioso e o servidor de download usado pelo malware.
Servidor: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com
More_eggs hash do arquivo zip: 776c355a89d32157857113a49e516e74
O fato de que grandes agentes de ameaças estão mostrando interesse no malware more_eggs indica que a abordagem altamente direcionada ao phishing, às vezes chamada de spear phishing, parece estar funcionando para os hackers.