Hackers dirigidos a profesionales con malware ‘more_eggs’ a través de ofertas de trabajo de LinkedIn

Una nueva campaña de spear-phishing se dirige a los profesionales de LinkedIn con ofertas de trabajo armadas en un intento de infectar a los objetivos con un sofisticado troyano de puerta trasera llamado «more_eggs».

Para aumentar las probabilidades de éxito, los señuelos de phishing se aprovechan de los archivos ZIP maliciosos que tienen el mismo nombre que los títulos de trabajo de las víctimas tomados de sus perfiles de LinkedIn.

«Por ejemplo, si el trabajo del miembro de LinkedIn aparece como Ejecutivo de cuentas sénior – Carga internacional, el archivo zip malicioso se titularía Ejecutivo de cuentas sénior – Posición de carga internacional (tenga en cuenta la ‘posición’ agregada al final)», Respuesta a amenazas de la empresa de seguridad cibernética eSentire. Unidad (TRU) dijo en un análisis. «Al abrir la oferta de trabajo falsa, la víctima, sin darse cuenta, inicia la instalación sigilosa de la puerta trasera sin archivos, more_eggs».

Se han detectado campañas que entregan more_eggs usando el mismo modus operandi al menos desde 2018, con la puerta trasera atribuida a un proveedor de malware como servicio (MaaS) llamado Golden Chickens. Los adversarios detrás de esta nueva ola de ataques aún se desconocen, aunque varios grupos de ciberdelincuencia como Cobalt, FIN6 y EvilNum han utilizado more_eggs en el pasado.

Una vez instalado, more_eggs mantiene un perfil sigiloso al secuestrar procesos legítimos de Windows mientras presenta el documento de «solicitud de empleo» señuelo para distraer a los objetivos de las tareas en segundo plano en curso provocadas por el malware. Además, puede actuar como un conducto para recuperar cargas útiles adicionales de un servidor controlado por un atacante, como troyanos bancarios, ransomware, ladrones de credenciales, e incluso usar la puerta trasera como punto de apoyo en la red de la víctima para exfiltrar datos.

En todo caso, el último desarrollo es otra indicación de cómo los actores de amenazas modifican constantemente sus ataques con señuelos personalizados en un intento de engañar a los usuarios desprevenidos para que descarguen malware.

«Desde la pandemia de COVID, las tasas de desempleo han aumentado drásticamente. Es un momento perfecto para aprovechar a los buscadores de empleo que están desesperados por encontrar empleo», dijeron los investigadores. «Por lo tanto, un señuelo de trabajo personalizado es aún más atractivo durante estos tiempos difíciles».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática