注意:新しいフィッシング攻撃はLinkedInユーザーを標的にします

世界経済はCovid-19のパンデミックによって深刻な混乱を招き、余震は依然として多くの産業やセクターで感じられます。多くの人々が変化する状況で職を失い、論理的には、彼らの多くは新しい機会を探すためにLinkedInに行きました。

悪意のある人物は常に新しい機会にも目を光らせており、LinkedInのヒットのこの流入をそのような機会の1つと見なしていました。検出と対応のサイバーセキュリティ会社eSentireと協力しているセキュリティ研究者は、最近、LinkedInユーザーを卑劣で危険なマルウェアで標的とした新しいフィッシングキャンペーンを報告しました。

ファイルレスマルウェアは重大な脅威をもたらす

eSentireの専門家によると、新しいキャンペーンの背後にある脅威グループはゴールデンチキンと呼ばれています。 LinkedInメッセージを介して配信されるこの新しいフィッシングキャンペーンで使用するマルウェアは、適切には「 more_eggs 」と呼ばれます。

More_eggsは、正当なWindowsプロセスを悪用し、スクリプトに保存されている関数と特定の命令をフィードするファイルレスマルウェアです。これにより、検出が特に困難になります。

このキャンペーンのもう1つの注目すべき点は、数百万の電子メールが潜在的に数百万のアクティブユーザーに送信されるほとんどの包括的なフィッシングの試みとは異なることです。ここで使用されているアプローチは、はるかに的を絞っており、スピアフィッシングと呼ぶことができます。これは、視覚的に信頼できる名前と、被害者を誘惑して悪意のあるファイルをクリックさせる可能性がはるかに高いアプローチを使用する攻撃です。

LinkedInユーザーの受信トレイに送信されるメッセージは非常に具体的で、最後に使用した実際の仕事と、同じ場所での実際の求人を意味する「位置」という単語が後ろに追加されていました。これだけでも非常に信頼できるルアーになり、このターゲットを絞ったアプローチが機能しているようです。

more_eggsによって使用される悪意のあるファイルは、一度開かれるとマルウェアを静かに展開するzipです。感染すると、システムはマルウェアの背後にいるスレッドアクターに開かれ、追加の悪意のあるペイロードをダウンロードしてリモートで展開できます。

「サービスとしてのマルウェア」が復活

この最近のmore_eggsキャンペーンも、GoldenChickensグループ自体によっては実施されていません。 eSentireは、脅威アクターがマルウェアをサードパーティの悪意のあるアクターに販売またはライセンス供与し、サービスとして運用していることを通知します。この概念は革新的でも新しいものでもありませんが、Colabt Groupなどの大きな脅威アクター名がmore_eggsを使用しているという事実は、ハッカーにとってうまく機能していることを示しています。

eSentireを使用する専門家は、more_eggsに固有の脅威指標をいくつか選び出しました。これらには、C&Cビーコン、zipファイルのハッシュ、more_eggsが使用するダウンロードサーバーが含まれます。

  • C&Cビーコン:d27qdop2sa027t.cloudfront [。] net
  • Zipファイルハッシュ:776c355a89d32157857113a49e516e74
  • サーバー:ec2-13-58-146-177.us-east-2.compute.amazonaws [。] com