Campanhas de spear phishing do Linkedin distribuindo backdoor “more_eggs” para os alvos
Uma nova campanha de spear-phishing foi detectada visando os candidatos a emprego do Linkedin com uma oferta falsa de emprego para infectar seus sistemas com sofisticados “more_eggs” – um cavalo de Tróia backdoor.
A mensagem de phishing atrai os profissionais a abrir um arquivo .ZIP, que é nomeado como o cargo das vítimas a partir do perfil de seus perfis do Linkedin.
Por exemplo, se o cargo do membro do Linkedin listado como Executivo de Contas Sênior – Frete Internacional, o arquivo .zip malicioso provavelmente teria o nome Executivo de Contas Sênior – Cargo Internacional de Frete (observe a “posição” adicionada ao final). ”
De acordo com os pesquisadores de segurança do eSentire, a campanha para entregar “more_eggs” usa o mesmo módulo operandi que aquele identificado desde 2018 com backdoor atribuído ao Maas ou provedor de Malware-as-a-Service, Golden Chickens.
Depois de instalado, more_eggs utiliza os processos do Windows para ser executado, o que torna difícil para as soluções de segurança antivírus detectá-lo no sistema. Como o arquivo malicioso tem um cargo profissional, mais a posição, a chance é maior de sua execução.
Os agressores exploraram várias pessoas desempregadas criadas durante a pandemia. Os pesquisadores observaram: “Uma isca de trabalho personalizada é ainda mais atraente durante esses tempos difíceis”.
A primeira operação de phishing ocorreu durante a pandemia COVID-19. Durante o ano de 2020, mais de 300 campanhas de phishing foram criadas para coletar credenciais pessoais e bancárias de vítimas em potencial.
Os pesquisadores não têm certeza sobre o objetivo da operação de phishing. No entanto, sendo um backdoor, é provável que seja aquele que atua como um canal para recuperar cargas úteis adicionais do servidor de atacantes remotos, como Trojan bancário, Ransomware e ladrão de informações.
Pode até funcionar como um ponto de apoio para a rede das vítimas para filtrar os dados. Felizmente, essa operação de phishing para distribuir o vírus backdoor agora foi interrompida.