Pas op: nieuwe phishing-aanvallen zijn gericht op LinkedIn-gebruikers

De wereldeconomie is ernstig verstoord door de Covid-19-pandemie en de naschokken zijn nog steeds voelbaar in veel industrieën en sectoren. Veel mensen verloren hun baan in de veranderende omstandigheden en logischerwijs gingen veel van hen op LinkedIn op zoek naar nieuwe kansen.

Slechte acteurs zijn ook altijd op zoek naar nieuwe kansen, en zij zagen deze toestroom van LinkedIn-hits als zo'n kans. Beveiligingsonderzoekers die samenwerkten met het cyberbeveiligingsbedrijf eSentire op het gebied van detectie en respons, meldden onlangs een nieuwe phishing-campagne die zich op LinkedIn-gebruikers richtte met stiekeme en gevaarlijke malware.

Bestandsloze malware vormt een aanzienlijke bedreiging

Volgens experts van eSentire heet de dreigingsgroep achter de nieuwe campagne Golden Chickens. De malware die ze gebruiken in deze nieuwe phishing-campagne die wordt afgeleverd via LinkedIn-berichten, wordt toepasselijk "more_eggs" genoemd.

More_eggs is een bestandsloze malware die misbruik maakt van legitieme Windows-processen en ze voedt met functies en specifieke instructies die zijn opgeslagen in scripts. Dit maakt het bijzonder moeilijk te detecteren.

Een ander opmerkelijk aspect van deze campagne is dat het niet lijkt op de meeste algemene phishing-pogingen, waarbij miljoenen e-mails worden verzonden naar mogelijk miljoenen actieve gebruikers. De benadering die hier wordt gebruikt, is veel gerichter en kan spearphishing worden genoemd - een aanval waarbij visueel geloofwaardige namen en benaderingen worden gebruikt die het slachtoffer veel eerder zullen lokken en ervoor zorgen dat ze op het schadelijke bestand klikken.

De berichten die naar de inbox van LinkedIn-gebruikers werden gestuurd, waren zeer specifiek en bevatten de echte baan die ze het laatst bekleedden, samen met het woord "positie" aan de achterkant, wat duidt op een echte jobaanbieding voor dezelfde plek. Dit alleen al zorgt voor een zeer geloofwaardig lokaas en het lijkt erop dat deze gerichte aanpak werkt.

Het kwaadaardige bestand dat door more_eggs wordt gebruikt, is een zip die, eenmaal geopend, de malware stilletjes implementeert. Eenmaal geïnfecteerd, staat het systeem open voor de thread-actoren achter de malware en kunnen aanvullende kwaadaardige payloads worden gedownload en op afstand worden ingezet.

"Malware-as-a-service" keert terug

Deze recente more_eggs-campagne wordt ook niet gevoerd door de Golden Chickens-groep zelf. eSentire informeert dat de bedreigingsacteur de malware eerder verkoopt of in licentie geeft aan slechte actoren van derden en deze als een service gebruikt. Dit concept is niet revolutionair of nieuw, maar het feit dat namen van grote bedreigingen zoals Colabt Group more_eggs gebruiken, toont aan dat het goed werkt voor de hackers.

De experts die met eSentire werken, hebben een aantal dreigingsindicatoren uitgekozen die specifiek zijn voor more_eggs. Die omvatten het C & C-baken, de hash van het zipbestand en de downloadserver die wordt gebruikt door more_eggs:

  • C&C baken: d27qdop2sa027t.cloudfront [.] Net
  • Zip-bestand hash: 776c355a89d32157857113a49e516e74
  • Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

 

Laat een antwoord achter

Gebruik dit opmerkingensysteem NIET voor vragen over ondersteuning of facturering. Neem voor technische ondersteuningsverzoeken van SpyHunter rechtstreeks contact op met ons technische ondersteuningsteam door een ticket voor klantenondersteuning te openen via uw SpyHunter. Voor factureringsproblemen verwijzen wij u naar onze "Factureringsvragen of problemen?" Pagina. Voor algemene vragen (klachten, juridische zaken, pers, marketing, copyright) gaat u naar onze pagina "Vragen en feedback".


HTML is niet toegestaan.