Campagne di spear phishing di Linkedin che distribuiscono backdoor “more_eggs” ai target

Viene rilevata una nuova campagna di spear-phishing che prende di mira le persone in cerca di lavoro di Linkedin con false offerte di lavoro per infettare i loro sistemi con sofisticati “more_eggs”, un trojan backdoor.

Il messaggio di phishing induce i professionisti ad aprire un file .ZIP, che viene nominato come titolo professionale della vittima dal profilo dei loro profili Linkedin.

Ad esempio, se il lavoro del membro di Linkedin fosse elencato come Senior Account Executive — International Freight, il file .zip dannoso avrebbe probabilmente il nome Senior Account Executive — International Freight position (nota la “posizione” aggiunta alla fine). “

 Secondo i ricercatori sulla sicurezza di eSentire, la campagna per fornire “more_eggs” utilizza lo stesso modulo operandi di quello individuato dal 2018 con backdoor attribuita a Maas o al fornitore di Malware-as-a-Service, Golden Chickens.

 Una volta installato, more_eggs utilizza i processi di Windows da eseguire, il che rende difficile per le soluzioni di sicurezza antivirus rilevarlo nel sistema. Poiché il file dannoso ha un titolo professionale, oltre alla posizione, la possibilità è maggiore della sua esecuzione.

Gli aggressori hanno sfruttato un numero di disoccupati cresciuti durante la pandemia. I ricercatori hanno osservato: “Un’esca professionale personalizzata è ancora più allettante durante questi tempi difficili”.

La primissima operazione di phishing si è verificata durante la pandemia COVID-19. Durante l’anno 2020, sono state create più di 300 campagne di phishing per raccogliere credenziali personali e bancarie da potenziali vittime.

I ricercatori non sono sicuri dello scopo dell’operazione di phishing. Tuttavia, essendo una backdoor, si dice che sia probabilmente quella che funge da canale per recuperare payload aggiuntivi dal server di attaccanti remoti, come Trojan bancari, Ransomware e furto di informazioni.

 Può anche fungere da punto d’appoggio per la rete delle vittime per estrarre i dati. Fortunatamente, questa operazione di phishing per distribuire il virus backdoor è stata interrotta.