Campanhas de spear phishing do Linkedin distribuindo backdoor “more_eggs” para os alvos

Uma nova campanha de spear-phishing foi detectada visando os candidatos a emprego do Linkedin com uma oferta falsa de emprego para infectar seus sistemas com sofisticados “more_eggs” – um cavalo de Tróia backdoor.

A mensagem de phishing atrai os profissionais a abrir um arquivo .ZIP, que é nomeado como o cargo das vítimas a partir do perfil de seus perfis do Linkedin.

Por exemplo, se o cargo do membro do Linkedin listado como Executivo de Contas Sênior – Frete Internacional, o arquivo .zip malicioso provavelmente teria o nome Executivo de Contas Sênior – Cargo Internacional de Frete (observe a “posição” adicionada ao final). ”

 De acordo com os pesquisadores de segurança do eSentire, a campanha para entregar “more_eggs” usa o mesmo módulo operandi que aquele identificado desde 2018 com backdoor atribuído ao Maas ou provedor de Malware-as-a-Service, Golden Chickens.

 Depois de instalado, more_eggs utiliza os processos do Windows para ser executado, o que torna difícil para as soluções de segurança antivírus detectá-lo no sistema. Como o arquivo malicioso tem um cargo profissional, mais a posição, a chance é maior de sua execução.

Os agressores exploraram várias pessoas desempregadas criadas durante a pandemia. Os pesquisadores observaram: “Uma isca de trabalho personalizada é ainda mais atraente durante esses tempos difíceis”.

A primeira operação de phishing ocorreu durante a pandemia COVID-19. Durante o ano de 2020, mais de 300 campanhas de phishing foram criadas para coletar credenciais pessoais e bancárias de vítimas em potencial.

Os pesquisadores não têm certeza sobre o objetivo da operação de phishing. No entanto, sendo um backdoor, é provável que seja aquele que atua como um canal para recuperar cargas úteis adicionais do servidor de atacantes remotos, como Trojan bancário, Ransomware e ladrão de informações.

 Pode até funcionar como um ponto de apoio para a rede das vítimas para filtrar os dados. Felizmente, essa operação de phishing para distribuir o vírus backdoor agora foi interrompida.