Akta dig: Nya nätfiskeattacker riktar sig till LinkedIn-användare

Den globala ekonomin har blivit allvarligt upprörd av Covid-19-pandemin och efterskakningarna kan fortfarande kännas genom många industrier och sektorer. Många människor förlorade sina jobb under de skiftande förhållandena och logiskt sett gick många av dem på LinkedIn för att leta efter nya möjligheter.

Dåliga aktörer är alltid på jakt efter nya möjligheter också, och de såg detta tillströmning av LinkedIn-träffar som en sådan möjlighet. Säkerhetsforskare som arbetar med upptäckt och respons cybersäkerhetsföretaget eSentire rapporterade nyligen en ny phishing-kampanj som riktade sig till LinkedIn-användare med lömsk och farlig skadlig kod.

Fileless Malware utgör en betydande hot

Enligt eSentire-experter heter hotgruppen bakom den nya kampanjen Golden Chickens. Den skadliga programvaran de använder i den här nya nätfiske-kampanjen som levereras via LinkedIn-meddelanden kallas lämpligen "more_eggs".

More_eggs är en fillös skadlig kod som missbrukar legitima Windows-processer och matar dem till funktioner och specifika instruktioner lagrade i skript. Detta gör det särskilt svårt att upptäcka.

En annan anmärkningsvärd sak med den här kampanjen är att den inte liknar de flesta filtfiskeförsök, där miljoner e-postmeddelanden skickas ut till potentiellt miljoner aktiva användare. Tillvägagångssättet som används här är mycket mer riktat och kan kallas spjutfiske - en attack som använder visuellt trovärdiga namn och tillvägagångssätt som är mycket mer benägna att locka in offret och få dem att klicka på den skadliga filen.

Meddelandena som skickades till inkorgarna på LinkedIn-användare var mycket specifika och innehöll det verkliga jobbet som de senast upptagit, tillsammans med ordet "position" bakom, vilket antyder ett verkligt jobbbjudande för samma plats. Bara detta ger en mycket trovärdig lockbete och det verkar som denna riktade strategi fungerar.

Den skadliga filen som används av more_eggs är en zip som, när den öppnas, tyst distribuerar skadlig kod. En gång infekterat är systemet öppet för trådaktörerna bakom skadlig programvara och ytterligare skadliga nyttolast kan laddas ner och distribueras på distans.

"Malware-as-a-service" gör en återgång

Den senaste mer-eggs-kampanjen genomförs inte heller av Golden Chickens-gruppen själv. eSentire informerar om att skådespelaren snarare säljer eller licensierar skadlig programvara till dåliga skådespelare från tredje part och använder den som en tjänst. Detta koncept är inte revolutionerande eller nytt, men det faktum att stora hot som skådespelarnamn som Colabt Group använder more_eggs visar att det fungerar bra för hackarna.

Experterna som arbetar med eSentire pekade ut ett antal hotindikatorer som är specifika för more_eggs. Dessa inkluderar C & C-fyren, zip-filens hash och nedladdningsservern som används av more_eggs:

  • C&C fyr: d27qdop2sa027t.cloudfront [.] Net
  • Zip-filhash: 776c355a89d32157857113a49e516e74
  • Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com