Ваш почтовый ящик LinkedIn может содержать вредоносное ПО

Нынешняя нестабильная экономика заставила немало людей искать новую работу. Многие из этих людей используют LinkedIn для поиска новых возможностей трудоустройства, но группа злоумышленников делает все возможное, чтобы поиск работы стал не лучшим временем.

Исследователи безопасности, работающие с eSentire, обнаружили новую, очень сложную кампанию по вредоносному ПО. Вредоносное ПО, используемое хакерами, называется more_eggs и представляет собой бесфайловый бэкдор, распространяемый через правдоподобные фишинговые сообщения, отправляемые в почтовые ящики жертв в LinkedIn.

Ранее мы рассказывали о кампании и упоминали, что ее отличает то, что злоумышленники приложили огромные усилия, чтобы их фишинговые приманки выглядели как можно более правдоподобно. В сообщениях содержатся вредоносные архивные файлы, обычно zip, имена которых точно соответствуют специализации работы жертвы, но с добавлением слова «должность», как сообщает eSentire в своем полном отчете, опубликованном на следующий день после первоначального объявления об этом. фишинговая кампания.

Как только пользователь LinkedIn, на которого распространяется кампания, открывает поддельное предложение о работе, он запускает автоматическую установку бесфайлового бэкдора more_eggs. Бэкдор представляет собой серьезную угрозу, поскольку позволяет злоумышленникам, стоящим за кампанией, загружать дополнительные вредоносные файлы в систему жертвы и брать под контроль скомпрометированную систему.

Эксперты eSentire перечисляют злоумышленников, стоящих за вредоносным ПО, как объект под названием Golden Chickens, и объясняют, что вредоносное ПО more_eggs используется не только ими, а скорее продается в качестве пакета услуг другим хакерам, которые хотят его использовать. «Вредоносное ПО как услуга» - понятие не новое.

Ранее мы видели, как злоумышленники распространяют программы-вымогатели и другие типы вредоносных программ в качестве услуги либо в счет предоплаты, либо в счет части прибыли, получаемой сторонними хакерами, которые развертывают вредоносное ПО.

More_eggs представляет собой серьезную угрозу, потому что он захватывает и использует процессы Windows для развертывания. Этим законным процессам предоставляются функции для выполнения с использованием сценариев. Из-за того, что вредоносная программа сохраняет низкий профиль в системе жертвы, является бесфайловой и злоупотребляет законными системными процессами, вредоносная программа привлекла внимание известных продвинутых постоянных групп угроз, включая Cobalt Group, FIN6 и Evilnum.

eSentire опубликовала ряд индикаторов угроз, связанных с вредоносным ПО more_eggs. В частности, они перечислили хэш вредоносного zip-файла и сервер загрузки, используемый вредоносной программой.

Сервер: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

Хэш zip-файла More_eggs: 776c355a89d32157857113a49e516e74

Тот факт, что крупные злоумышленники проявляют интерес к вредоносному ПО more_eggs, указывает на то, что целенаправленный подход к фишингу, иногда называемый целевым фишингом, похоже, работает для хакеров.