martes, 13 de abril de 2021

Se están utilizando ofertas de trabajo en LinkedIn para propagar malware

Nueva campaña de spear-phishing en LinkedIn

      En estos últimos días ha aparecido una nueva campaña de spear-phishing que tiene el objetivo de instalar un backdoor utilizando el troyano more_eggs. En esta campaña se dirige el phishing a profesionales en LinkedIn con ofertas de trabajo.

En este phishing se utilizan los nombres de los puestos de trabajo de la víctima para nombrar el archivo ZIP malicioso, tomados los nombres de los propios perfiles de LinkedIn. Este truco que utilizan los atacantes sirve para conseguir una mayor probabilidad de éxito mayor.

Varias campañas con el mismo modus operandi utilizando el propio archivo JS de more_eggs han sido detectadas desde 2018, esta puerta trasera se atribuye a un grupo llamado Golden Chickens que vende su malware como servicio (MaaS). Por el momento no se ha podido determinar el atacante detrás de esta nueva campaña de phishing, aunque la realidad es que el JS utilizado para la puerta trasera ha sido utilizado en el pasado por grupos como Cobalt, FIN6 y EvilNum.

Una vez el equipo está infectado more_eggs­ se mantiene en un perfil sigiloso secuestrando procesos legítimos de Windows, mientras realiza el secuestro de los servicios se presenta un documento señuelo con el nombre de solicitud de empleo distrayendo de esta forma al usuario. Por otra parte, este malware puede utilizarse para obtener otras cargas útiles de un servidor controlado por el propio atacante, estas cargas pueden ser troyanos bancarios, ransomware, ladrones de credenciales, llegando incluso a utilizar el backdoor instalado para exfiltrar datos de la víctima.

Toda esta información ha sido sacada en un análisis que ha realizado la empresa de ciberseguridad eSentire’s Threat Response Unit.


No hay comentarios:

Publicar un comentario