La campaña de Spear-Phishing de LinkedIn se dirige a los buscadores de empleo

Ofertas de trabajo falsas atraen a los profesionales para que descarguen el troyano de »backdoor» More_Eggs.

Un grupo de amenazas llamado Golden Chickens está entregando la puerta trasera sin archivos more_eggs a través de una campaña de spear-phishing dirigida a profesionales en LinkedIn con ofertas de trabajo falsas, según investigadores de eSentire.

Los correos electrónicos de suplantación de identidad intentan engañar a la víctima para que haga clic en un archivo .ZIP malicioso seleccionando el puesto de trabajo actual de la víctima y agregando la palabra «puesto» al final, haciendo que parezca una oferta legítima.

“Por ejemplo, si el trabajo del miembro de LinkedIn aparece como ‘Ejecutivo de cuentas sénior: flete internacional’, el archivo .ZIP malicioso se llamaría ‘Ejecutivo de cuentas sénior: puesto de flete internacional’ (tenga en cuenta la ‘posición’ agregada al final), » según el informe. «Al abrir la oferta de trabajo falsa, la víctima, sin saberlo, inicia la instalación sigilosa de la puerta trasera sin archivos, more_eggs».

Una vez descargado, more_eggs puede buscar malware adicional y proporcionar acceso al sistema de la víctima, según el informe. El grupo Golden Chickens también está vendiendo more_eggs como malware como servicio a otros ciberdelincuentes, que lo utilizan para hacerse un hueco en los sistemas de las víctimas para instalar otros tipos de malware, incluido el malware bancario, los ladrones de credenciales y el ransomware, o simplemente para exfiltrarse. datos, informó eSentire.

More_Eggs Malware

Rob McLeod, director de la Unidad de respuesta a amenazas de eSentire, destacó tres aspectos específicos del troyano more_eggs que lo convierten en lo que describió como una «amenaza formidable para los negocios y los profesionales de negocios».

Primero, abusa de los procesos normales de Windows para evitar las protecciones antivirus. En segundo lugar, McLeod señaló que los correos electrónicos personalizados de spear phishing son efectivos para atraer a las víctimas a hacer clic en la oferta de trabajo falsa. Lo que quizás sea más pernicioso es que el malware explota a los buscadores de empleo desesperados por encontrar empleo en medio de una pandemia global y las tasas de desempleo que se disparan, agregó.

Si bien eSentire no ha podido identificar el grupo detrás de more_eggs, los investigadores han observado que los grupos FIN6, Cobalt Group y Evilnum han utilizado el malware more_eggs como un servicio para sus propios fines.

Cómo evitar ser una víctima de LinkedIn

“No hay mucho que ganar con un trabajador desempleado que usa su propio dispositivo personal”, dijo a un medio internacional Chris Morales, CIO de Netenrich. “Aparte de quizás información sobre con quién están hablando y con la esperanza de infiltrarse en una red futura. Durante el estado de trabajo desde casa en el que nos encontramos, los dispositivos personales y de la organización coexisten en la misma red «.

Chris Hazelton, proveedor de seguridad móvil Lookout, indicó que probablemente la red social fue elegida para que los ciberdelincuentes pudieran obtener «acceso a la infraestructura en la nube de una organización, con el objetivo potencial de exfiltrar datos confidenciales relacionados con la propiedad intelectual o incluso dispositivos médicos que controlan la infraestructura». Añadió: «Los dispositivos conectados, en particular los dispositivos médicos, podrían ser un tesoro para los ciberdelincuentes».

Morales agregó que, para evitar compromisos, todos los usuarios de LinkedIn deben estar atentos a las estafas de spear-phishing.

«Apuntar a LinkedIn no es ciencia espacial», agregó. “Son redes sociales para el mundo empresarial con una descripción de los actores clave en cada industria. Asumo que yo también soy un objetivo y siempre busco eso».