Attenzione: i nuovi attacchi di phishing prendono di mira gli utenti LinkedIn

L'economia globale è stata seriamente sconvolta dalla pandemia di Covid-19 e le scosse di assestamento possono ancora essere avvertite in molte industrie e settori. Molte persone hanno perso il lavoro a causa delle mutevoli condizioni e, logicamente, molte di loro sono andate su LinkedIn per cercare nuove opportunità.

Anche i cattivi attori sono sempre alla ricerca di nuove opportunità e hanno visto questo afflusso di hit di LinkedIn come una di queste opportunità. I ricercatori di sicurezza che lavorano con la società di rilevamento e risposta alla sicurezza informatica eSentire hanno recentemente segnalato una nuova campagna di phishing che mirava agli utenti di LinkedIn con malware subdolo e pericoloso.

Il malware senza file rappresenta una minaccia significativa

Secondo gli esperti di eSentire, il gruppo di minacce dietro la nuova campagna si chiama Golden Chickens. Il malware che usano in questa nuova campagna di phishing fornita tramite i messaggi di LinkedIn è, opportunamente, chiamato " more_eggs ".

More_eggs è un malware senza file che abusa dei processi Windows legittimi e fornisce loro funzioni e istruzioni specifiche memorizzate negli script. Ciò lo rende particolarmente difficile da rilevare.

Un'altra cosa degna di nota di questa campagna è che non è come la maggior parte dei tentativi di phishing globale, in cui milioni di e-mail vengono inviate a potenzialmente milioni di utenti attivi. L'approccio qui utilizzato è molto più mirato e può essere chiamato spear phishing, un attacco che utilizza nomi e approcci visivamente credibili che hanno molte più probabilità di attirare la vittima e indurla a fare clic sul file dannoso.

I messaggi inviati alle caselle di posta degli utenti LinkedIn erano molto specifici e contenevano il lavoro reale che avevano occupato l'ultima volta, insieme alla parola "posizione" aggiunta in fondo, a indicare una vera offerta di lavoro per lo stesso posto. Questo da solo rende un'esca molto credibile e sembra che questo approccio mirato stia funzionando.

Il file dannoso utilizzato da more_eggs è uno zip che, una volta aperto, distribuisce silenziosamente il malware. Una volta infettato, il sistema è aperto agli attori del thread dietro il malware e ulteriori payload dannosi possono essere scaricati e distribuiti in remoto.

"Malware-as-a-service" fa un ritorno

Anche questa recente campagna more_eggs non è condotta dallo stesso gruppo Golden Chickens. eSentire informa che l'attore della minaccia sta piuttosto vendendo o concedendo in licenza il malware a malintenzionati di terze parti e lo gestisce come un servizio. Questo concetto non è rivoluzionario o nuovo, ma il fatto che nomi di attori di grandi minacce come Colabt Group stiano usando more_eggs dimostra che sta funzionando bene per gli hacker.

Gli esperti che lavorano con eSentire hanno individuato una serie di indicatori di minaccia specifici per more_eggs. Questi includono il beacon C&C, l'hash del file zip e il server di download utilizzato da more_eggs:

  • Beacon C&C: d27qdop2sa027t.cloudfront [.] Net
  • Hash del file zip: 776c355a89d32157857113a49e516e74
  • Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com