Uwaga: nowe ataki phishingowe są wymierzone w użytkowników LinkedIn

Globalna gospodarka została poważnie zakłócona przez pandemię Covid-19, a wstrząsy wtórne są nadal odczuwalne w wielu branżach i sektorach. Wiele osób straciło pracę w zmieniających się warunkach i logicznie rzecz biorąc, wielu z nich poszło na LinkedIn w poszukiwaniu nowych możliwości.

Źli aktorzy również zawsze szukają nowych możliwości i postrzegali ten napływ hitów LinkedIn jako jedną z takich możliwości. Badacze bezpieczeństwa współpracujący z firmą eSentire zajmującą się wykrywaniem i reagowaniem na cyberbezpieczeństwo zgłosiły niedawno nową kampanię phishingową, która była wymierzona w użytkowników LinkedIn za pomocą podstępnego i niebezpiecznego złośliwego oprogramowania.

Złośliwe oprogramowanie bezplikowe stanowi poważne zagrożenie

Według ekspertów eSentire grupa zagrożeń stojąca za nową kampanią nazywa się Złote Kurczaki. Złośliwe oprogramowanie, którego używają w tej nowej kampanii phishingowej dostarczanej za pośrednictwem wiadomości LinkedIn, jest odpowiednio nazywane „ more_eggs ”.

More_eggs to bezplikowe złośliwe oprogramowanie, które nadużywa legalnych procesów systemu Windows i przekazuje im funkcje oraz określone instrukcje przechowywane w skryptach. To sprawia, że jest to szczególnie trudne do wykrycia.

Inną godną uwagi rzeczą w tej kampanii jest to, że nie przypomina większości prób phishingu, w ramach których miliony e-maili są wysyłane do potencjalnie milionów aktywnych użytkowników. Zastosowane tutaj podejście jest znacznie bardziej ukierunkowane i można je nazwać spear phishing - atakiem wykorzystującym wizualnie wiarygodne nazwy i podejścia, które są znacznie bardziej skłonne do zwabienia ofiary i skłonienia jej do kliknięcia złośliwego pliku.

Wiadomości wysyłane do skrzynek odbiorczych użytkowników LinkedIn były bardzo konkretne i zawierały rzeczywistą pracę, którą ostatnio zajmowali, wraz z dołączonym z tyłu słowem „stanowisko”, co sugerowało prawdziwą ofertę pracy na to samo stanowisko. Już samo to stanowi bardzo wiarygodną przynętę i wydaje się, że to ukierunkowane podejście działa.

Szkodliwy plik używany przez more_eggs to plik zip, który po otwarciu po cichu wdraża złośliwe oprogramowanie. Po zainfekowaniu system jest otwarty dla aktorów wątku stojących za złośliwym oprogramowaniem, a dodatkowe złośliwe ładunki mogą być pobierane i wdrażane zdalnie.

Zwraca uwagę „złośliwe oprogramowanie jako usługa”

Ta ostatnia kampania more_eggs również nie jest prowadzona przez samą grupę Złote Kurczaki. eSentire informuje, że osoba będąca zagrożeniem raczej sprzedaje złośliwe oprogramowanie lub udziela mu licencji na szkodliwe oprogramowanie stronom trzecim i obsługuje je jako usługę. Ta koncepcja nie jest rewolucyjna ani nowa, ale fakt, że znane imiona aktorów, takich jak Colabt Group, używają more_eggs, pokazuje, że działa dobrze dla hakerów.

Eksperci współpracujący z eSentire wyróżnili szereg wskaźników zagrożeń charakterystycznych dla more_eggs. Obejmują one beacon C&C, hash pliku zip i serwer pobierania używany przez more_eggs:

  • Sygnał ostrzegawczy C&C: d27qdop2sa027t.cloudfront [.] Net
  • Skrót pliku ZIP: 776c355a89d32157857113a49e516e74
  • Serwer: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com