Cuidado: Novos Ataques de Phishing Têm como Alvo Usuários do LinkedIn

A economia global foi seriamente afetada pela pandemia de Covid-19 e os tremores secundários ainda podem ser sentidos em muitas indústrias e setores. Muitas pessoas perderam seus empregos nas condições de mudança e, logicamente, muitas delas entraram no LinkedIn em busca de novas oportunidades.

Os malfeitores também estão sempre em busca de novas oportunidades e viram esse influxo de sucessos do LinkedIn como uma dessas oportunidades. Os pesquisadores de segurança que trabalham com a detecção e resposta da empresa de segurança cibernética eSentire relataram recentemente uma nova campanha de phishing que tinha como alvo os usuários do LinkedIn com malware furtivo e perigoso.

O Malware sem Arquivo Representa uma Ameaça Significativa

De acordo com os especialistas da eSentire, o grupo de ameaça por trás da nova campanha é chamado de Golden Chickens. O malware que eles usam nesta nova campanha de phishing entregue por meio de mensagens do LinkedIn é, apropriadamente, chamado "more_eggs".

O More_eggs é um malware sem arquivo que abusa de processos legítimos do Windows e os alimenta com funções e instruções específicas armazenadas em scripts. Isso o torna particularmente difícil de detectar.

Outra coisa notável sobre esta campanha é que ela não é como a maioria das tentativas de phishing, em que milhões de e-mails são enviados para milhões de usuários ativos. A abordagem usada aqui é muito mais direcionada e pode ser chamada de spear phishing - um ataque que usa nomes e abordagens visualmente confiáveis que têm muito mais probabilidade de atrair a vítima e fazer com que ela clique no arquivo malicioso.

As mensagens enviadas para as caixas de entrada dos usuários do LinkedIn eram muito específicas e continham o emprego real que ocuparam por último, junto com a palavra "cargo" anexada no verso, sugerindo uma oferta real de trabalho para o mesmo lugar. Isso por si só já é uma isca muito crível e parece que essa abordagem direcionada está funcionando.

O arquivo malicioso usado por more_eggs é um zip que, uma vez aberto, implanta o malware silenciosamente. Uma vez infectado, o sistema é aberto aos agentes do thread por trás do malware e cargas maliciosas adicionais podem ser baixadas e implantadas remotamente.

O "Malware-as-a-Service" Retorna

Esta recente campanha do more_eggs também não é conduzida pelo próprio grupo Golden Chickens. O eSentire informa que o agente da ameaça está, em vez disso, vendendo ou licenciando o malware para terceiros mal-intencionados e operando-o como um serviço. Este conceito não é revolucionário ou novo, mas o fato de que nomes de grandes agentes de ameaças, como 0 Colabt Group, estão usando more_eggs, mostra que está funcionando bem para os hackers.

Os especialistas que trabalharam com o eSentire destacaram uma série de indicadores de ameaça específicos para more_eggs. Isso inclui o beacon C&C, o hash do arquivo zip e o servidor de download usado por more_eggs:

  • Beacon C&C: d27qdop2sa027t.cloudfront [.] Net
  •  Hash do arquivo zip: 776c355a89d32157857113a49e516e74
  • Servidor: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com