當心:新的網絡釣魚攻擊針對LinkedIn用戶

Covid-19大流行使全球經濟嚴重不安,許多行業和部門仍然可以感受到餘震。在不斷變化的環境中,很多人失業了,從邏輯上講,很多人去了LinkedIn尋找新的機會。

壞演員也總是在尋找新的機會,他們將LinkedIn熱門歌曲的湧入視為這樣的機會。與檢測和響應網絡安全公司eSentire一起工作的安全研究人員最近報告了一項新的網絡釣魚活動,該網絡攻擊針對的是使用潛行和危險惡意軟件的LinkedIn用戶。

無文件惡意軟件構成了重大威脅

據eSentire專家稱,新戰役背後的威脅組織稱為Golden Chickens 。在通過LinkedIn消息傳遞的此新的網絡釣魚活動中,他們使用的惡意軟件恰當地稱為“ more_eggs ”。

More_eggs是一種無文件的惡意軟件,它濫用合法的Windows進程並將其功能和腳本中存儲的特定指令提供給它們。這使得特別難以檢測。

此活動的另一個值得注意的事情是,它與大多數網絡釣魚嘗試不同,後者嘗試將數百萬封電子郵件發送給潛在的數百萬活躍用戶。這裡使用的方法更具針對性,可以稱為魚叉式網絡釣魚-這種攻擊使用具有視覺可信度的名稱和方法,更可能誘騙受害者並誘使他們單擊惡意文件。

發送給LinkedIn用戶收件箱的消息非常具體,包含了他們上次所從事的實際工作,並在後面加上了“職位”一詞,這意味著該職位是真正的工作機會。僅此一項就引起了非常可信的誘惑,並且似乎這種有針對性的方法正在奏效。

more_eggs使用的惡意文件是一個zip,一旦打開,便會悄悄地部署該惡意軟件。一旦被感染,該系統將向惡意軟件背後的線程參與者開放,並且可以遠程下載和部署其他惡意有效負載。

“惡意軟件即服務”取得回報

最近的more_eggs活動也不是Golden Chickens組織本身進行的。 eSentire通知說,威脅行為者正在將惡意軟件出售或許可給第三方不良行為者,並將其作為服務進行操作。這個概念不是革命性的或新穎的,但是諸如Colabt Group這樣的大型威脅參與者的名字正在使用more_eggs的事實表明,它對於黑客來說運作良好。

與eSentire合作的專家選擇了針對more_eggs的許多威脅指標。其中包括C&C信標,zip文件的哈希以及more_eggs使用的下載服務器:

  • C&C信標:d27qdop2sa027t.cloudfront [。] net
  • 郵編文件哈希:776c355a89d32157857113a49e516e74
  • 伺服器:ec2-13-58-146-177.us-east-2.compute.amazonaws [。] com