您的LinkedIn收件箱中可能包含恶意软件

当前的不稳定经济状况使相当多的人寻找新工作。这些人中有很多人正在使用LinkedIn寻求新的工作机会，但是一群坏演员正在尽力使找工作变得困难。

与eSentire一起工作的安全研究人员发现了一个新的，精心制作的恶意软件活动。黑客使用的恶意软件称为“ more_eggs”，是一种无文件的后门程序，通过发送给受害者的LinkedIn收件箱的可信网络钓鱼消息进行分发。

我们之前曾报道过该活动，并提到与众不同的是，不良行为者为了使他们的网络钓鱼诱饵看起来尽可能可信而付出了巨大的努力。邮件中包含恶意存档文件，通常为zip，其名称与受害人的工作专业名称完全相同，但附加了“职位”一词，如eSentire在其原始公告第二天发布的完整报告中所报告的那样。网络钓鱼活动。

一旦以该活动为目标的LinkedIn用户打开了伪造的工作机会，他们就会启动无文件后门more_eggs的静默安装。后门是一个重大威胁，因为它允许活动后的威胁参与者在受害者的系统上下载其他恶意文件并控制受感染的系统。

eSentire专家将恶意软件背后的威胁参与者列为一个名为Golden Chickens的实体，并解释说more_eggs恶意软件并非仅由其操作，而是作为服务包出售给了其他想要使用它的黑客。 “恶意软件即服务”不是一个新概念。

以前，我们已经看到威胁参与者将勒索软件和其他类型的恶意软件作为服务进行分发，或者是针对前期付款或针对部署了该恶意软件的第三方黑客的利润削减。

More_eggs是一个重大威胁，因为它劫持并使用Windows进程自行部署。这些合法进程具有使用脚本执行的功能。由于该恶意软件在受害人的系统上保持的低调，无文件且滥用合法的系统进程，因此吸引了臭名昭著的高级持久威胁组（包括Cobalt Group，FIN6和Evilnum）的注意。

eSentire已发布了许多与more_eggs恶意软件有关的威胁指标。最值得注意的是，他们列出了恶意zip文件的文件哈希以及恶意软件使用的下载服务器。

伺服器：ec2-13-58-146-177.us-east-2.compute.amazonaws [。] com

More_eggs zip文件哈希：776c355a89d32157857113a49e516e74

大型威胁行为者对more_eggs恶意软件表现出兴趣这一事实表明，针对网络钓鱼的高度针对性的方法（有时称为鱼叉式网络钓鱼）似乎正在为黑客奏效。