Uwaga: nowe ataki phishingowe są wymierzone w użytkowników LinkedIn
Globalna gospodarka została poważnie zakłócona przez pandemię Covid-19, a wstrząsy wtórne są nadal odczuwalne w wielu branżach i sektorach. Wiele osób straciło pracę w zmieniających się warunkach i logicznie rzecz biorąc, wielu z nich poszło na LinkedIn w poszukiwaniu nowych możliwości.
Źli aktorzy również zawsze szukają nowych możliwości i postrzegali ten napływ hitów LinkedIn jako jedną z takich możliwości. Badacze bezpieczeństwa współpracujący z firmą eSentire zajmującą się wykrywaniem i reagowaniem na cyberbezpieczeństwo zgłosiły niedawno nową kampanię phishingową, która była wymierzona w użytkowników LinkedIn za pomocą podstępnego i niebezpiecznego złośliwego oprogramowania.
Złośliwe oprogramowanie bezplikowe stanowi poważne zagrożenie
Według ekspertów eSentire grupa zagrożeń stojąca za nową kampanią nazywa się Złote Kurczaki. Złośliwe oprogramowanie, którego używają w tej nowej kampanii phishingowej dostarczanej za pośrednictwem wiadomości LinkedIn, jest odpowiednio nazywane „ more_eggs ".
More_eggs to bezplikowe złośliwe oprogramowanie, które nadużywa legalnych procesów systemu Windows i przekazuje im funkcje oraz określone instrukcje przechowywane w skryptach. To sprawia, że jest to szczególnie trudne do wykrycia.
Inną godną uwagi rzeczą w tej kampanii jest to, że nie przypomina większości prób phishingu, w ramach których miliony e-maili są wysyłane do potencjalnie milionów aktywnych użytkowników. Zastosowane tutaj podejście jest znacznie bardziej ukierunkowane i można je nazwać spear phishing - atakiem wykorzystującym wizualnie wiarygodne nazwy i podejścia, które są znacznie bardziej skłonne do zwabienia ofiary i skłonienia jej do kliknięcia złośliwego pliku.
Wiadomości wysyłane do skrzynek odbiorczych użytkowników LinkedIn były bardzo konkretne i zawierały rzeczywistą pracę, którą ostatnio zajmowali, wraz z dołączonym z tyłu słowem „stanowisko", co sugerowało prawdziwą ofertę pracy na to samo stanowisko. Już samo to stanowi bardzo wiarygodną przynętę i wydaje się, że to ukierunkowane podejście działa.
Szkodliwy plik używany przez more_eggs to plik zip, który po otwarciu po cichu wdraża złośliwe oprogramowanie. Po zainfekowaniu system jest otwarty dla aktorów wątku stojących za złośliwym oprogramowaniem, a dodatkowe złośliwe ładunki mogą być pobierane i wdrażane zdalnie.
Zwraca uwagę „złośliwe oprogramowanie jako usługa"
Ta ostatnia kampania more_eggs również nie jest prowadzona przez samą grupę Złote Kurczaki. eSentire informuje, że osoba będąca zagrożeniem raczej sprzedaje złośliwe oprogramowanie lub udziela mu licencji na szkodliwe oprogramowanie stronom trzecim i obsługuje je jako usługę. Ta koncepcja nie jest rewolucyjna ani nowa, ale fakt, że znane imiona aktorów, takich jak Colabt Group, używają more_eggs, pokazuje, że działa dobrze dla hakerów.
Eksperci współpracujący z eSentire wyróżnili szereg wskaźników zagrożeń charakterystycznych dla more_eggs. Obejmują one beacon C&C, hash pliku zip i serwer pobierania używany przez more_eggs:
- Sygnał ostrzegawczy C&C: d27qdop2sa027t.cloudfront [.] Net
- Skrót pliku ZIP: 776c355a89d32157857113a49e516e74
- Serwer: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com