Din LinkedIn-inkorg kan innehålla skadlig programvara

Den nuvarande instabila ekonomin har fått många att leta efter ett nytt jobb. Många av dem använder LinkedIn för att söka nya jobbmöjligheter, men en grupp dåliga skådespelare gör sitt bästa för att söka ett jobb till en dålig tid.

En ny, mycket detaljerad skadlig kampanj har upptäckts av säkerhetsforskare som arbetar med eSentire. Den skadliga programvaran som används av hackarna kallas "more_eggs" och är en filelös bakdörr, som distribueras genom trovärdiga nätfiskemeddelanden som skickas till offrens LinkedIn-inkorgar.

Vi täckte tidigare kampanjen och nämnde att det som skiljer den ut är de stora smärtor som de dåliga skådespelarna tog för att få sina nätfiskebitar att se så trovärdiga som möjligt. Meddelandena innehåller skadliga arkivfiler, vanligtvis blixtlås, som namnges exakt som offrets jobbspecialisering, men med ordet "position" bifogat, vilket rapporterats av eSentire i sin fullständiga rapport som kom ut en dag efter det ursprungliga tillkännagivandet av nätfiske-kampanj.

När en LinkedIn-användare som är inriktad på kampanjen öppnar det falska jobbet, lanserar de den tysta installationen av den fillösa bakdörren more_eggs. Bakdörren är ett betydande hot, eftersom det låter hotaktörerna bakom kampanjen ladda ner ytterligare skadliga filer på offrets system och ta kontroll över det komprometterade systemet.

eSentire-experter listar hotaktörerna bakom skadlig programvara som en enhet som heter Golden Chickens och förklarar att mer_eggs skadlig kod inte bara drivs av dem utan säljs snarare som ett servicepaket till andra hackare som vill använda den. "Malware som en tjänst" är inte ett nytt koncept.

Vi har tidigare sett hotaktörer som distribuerar ransomware och andra typer av skadlig kod som en tjänst, antingen mot förskottsbetalning eller mot en minskning av vinsten från tredje parts hackare som distribuerar skadlig kod.

More_eggs är ett betydande hot eftersom det kapar och använder Windows-processer för att distribuera sig själv. Dessa legitima processer får funktioner att utföra med hjälp av skript. På grund av den låga profilen som skadlig programvara upprätthåller i offrets system, eftersom den är fillös och missbrukar legitima systemprocesser, har skadlig programvara uppmärksammats av ökända avancerade ihållande hotgrupper inklusive Cobalt Group, FIN6 och Evilnum.

eSentire har publicerat ett antal hotindikatorer relaterade till more_eggs malware. Framför allt listade de filhashen för den skadliga zip-filen och nedladdningsservern som används av skadlig kod.

Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

More_eggs zip-fil hash: 776c355a89d32157857113a49e516e74

Det faktum att stora hotaktörer visar intresse för den mer_eggs skadliga programvaran indikerar att det mycket riktade tillvägagångssättet för nätfiske, ibland kallat spjutfiske, verkar fungera för hackarna.