Pas på: Nye phishing-angreb er rettet mod LinkedIn-brugere

Den globale økonomi er blevet alvorligt forstyrret af Covid-19-pandemien, og efterskuddene kan stadig mærkes gennem mange industrier og sektorer. Mange mennesker mistede deres job under de skiftende forhold, og logisk set gik mange af dem på LinkedIn for at se efter nye muligheder.

Dårlige skuespillere er altid på udkig efter nye muligheder også, og de så denne tilstrømning af LinkedIn-hits som en sådan mulighed. Sikkerhedsforskere, der arbejder med afsløring og respons cybersikkerhedsfirmaet eSentire, rapporterede for nylig en ny phishing-kampagne, der var målrettet mod LinkedIn-brugere med luskede og farlige malware.

Fileless Malware udgør en betydelig trussel

Ifølge eSentire-eksperter hedder trusselgruppen bag den nye kampagne Golden Chickens. Den malware, de bruger i denne nye phishing-kampagne, der leveres gennem LinkedIn-meddelelser, kaldes passende nok "more_eggs".

More_eggs er en fileløs malware, der misbruger legitime Windows-processer og føder dem til funktioner og specifikke instruktioner, der er gemt i scripts. Dette gør det særligt vanskeligt at opdage.

En anden bemærkelsesværdig ting ved denne kampagne er, at den ikke er som de fleste phishing-forsøg, hvor millioner af e-mails sendes til potentielt millioner af aktive brugere. Den tilgang, der anvendes her, er meget mere målrettet og kan kaldes spear phishing - et angreb, der bruger visuelt troværdige navne og tilgange, der er meget mere tilbøjelige til at lokke offeret og få dem til at klikke på den ondsindede fil.

Beskederne, der blev sendt til LinkedIn-brugerens indbakker, var meget specifikke og indeholdt det rigtige job, de sidst havde besat, sammen med ordet "position", der var tilføjet bagest, hvilket antydede et rigtigt jobtilbud til det samme sted. Dette alene giver et meget troværdigt lokke, og det ser ud til, at denne målrettede tilgang fungerer.

Den ondsindede fil, der bruges af more_eggs, er en zip, der, når den er åbnet, stille og roligt distribuerer malware. Når det er inficeret, er systemet åbent for trådaktørerne bag malware, og yderligere ondsindede nyttelast kan downloades og distribueres eksternt.

"Malware-as-a-service" giver en tilbagevenden

Denne nylige more_eggs-kampagne gennemføres heller ikke af selve Golden Chickens-gruppen. eSentire oplyser, at trusselsaktøren snarere sælger eller licenserer malware til tredjeparts dårlige aktører og driver den som en tjeneste. Dette koncept er ikke revolutionerende eller nyt, men det faktum, at store trussels navne på skuespillere som Colabt Group bruger more_eggs, viser at det fungerer godt for hackerne.

Eksperterne, der arbejder med eSentire, udpegede en række trusselsindikatorer, der er specifikke for more_eggs. Disse inkluderer C & C-fyrtårnet, zip-filens hash og download-serveren, der bruges af more_eggs:

  • C&C fyr: d27qdop2sa027t.cloudfront [.] Net
  • Zip-fil-hash: 776c355a89d32157857113a49e516e74
  • Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com