LinkedIn Spear-Phishing Campaign nhắm đến những người đang tìm việc làm.



Những việc làm giả mạo sẽ thu hút các chuyên viên tải xuống trojan backdoor more_eggs.

Theo các nhà nghiên cứu tại eSentire, một nhóm hacker có tên là Golden Chi Chicken đang truyền fileless more_eggs backdoor thông qua một Spear-phishing campaign nhắm tới các chuyên gia trên LinkedIn với những lời mời làm việc giả mạo, theo các nhà nghiên cứu tại eSentire.

Các phishing emails cố gắng lừa nạn nhân nhấp vào tệp .ZIP độc hại bằng cách chọn chức danh công việc hiện tại của nạn nhân và thêm từ “position” vào cuối, làm cho nó giống như thật.

“Ví dụ: nếu công việc của thành viên LinkedIn được liệt kê là ‘Senior Account Executive—International Freight’, thì tệp .ZIP độc hại sẽ có tiêu đề ‘Senior Account Executive—International Freight position’ (lưu ý ‘position’ được thêm vào cuối), ” Theo bảng báo cáo. “Khi mở lời mời làm việc giả , nạn nhân đã vô tình bắt đầu cài đặt fileless backdoor, more_eggs.”

Remove More_eggs virus - 2021 update

Sau khi tải xuống, more_eggs có thể tìm nạp thêm malware và  cấp quyền truy cập vào hệ thống của nạn nhân, báo cáo cho biết. Nhóm Golden Chi Chicken cũng đang rao bán more_eggs dưới dạng malware-as-a-service cho các hacker khác, những kẻ sử dụng nó để đạt được chỗ đứng trong hệ thống của nạn nhân để cài đặt các loại malware khác, bao gồm banking malware, đánh cắp thông tin xác thực và ransomware hoặc chỉ để lấy đi dữ liệu, eSentire báo cáo.

More_Eggs Malware: ‘Mối đe dọa đáng sợ’

Rob McLeod, giám đốc Threat Response Unit của eSentire, đã nêu bật ba khía cạnh cụ thể của trojan more_eggs khiến nó được ông mô tả là “mối đe dọa kinh hoàng đối với các doanh nghiệp và chuyên gia kinh doanh”.

Đầu tiên, nó lạm dụng các Windows processes thông thường để tránh các biện pháp bảo vệ chống vi-rút. Thứ hai, McLeod chỉ ra rằng các spear phishing emails được cá nhân hóa có hiệu quả trong việc lôi kéo nạn nhân nhấp chuột vào lời mời làm việc giả mạo. Ông nói thêm, điều có lẽ nguy hiểm nhất là malware khai thác những người thất nghiệp đang khao khát tìm được việc làm trong bối cảnh đại dịch toàn cầu đang bùng phát và tỷ lệ thất nghiệp đang tăng vọt ở mức đáng báo động.

Mặc dù eSentire không thể xác định ai là kẻ đằng sau more_eggs, nhưng các nhà nghiên cứu đã quan sát thấy các nhóm FIN6, Cobalt Group và Evilnum từng sử dụng more_eggs malware-as-a-service cho các mục đích cá nhân của chúng.

More_Eggs Malware-As-A-Service.

Băng nhóm đe dọa tài chính FIN6 đã sử dụng malware more_eggs để nhắm mục tiêu vào các công ty thương mại điện tử khác nhau vào năm 2019. Đồng thời, những hacker đã sử dụng more_eggs để xâm phạm hệ thống thanh toán trực tuyến của các công ty bán lẻ, giải trí và dược phẩm, mà các công ty tìm kiếm điện tử reSentire hiển nhiên chưa liên kết với FIN6, nhưng có nghi vấn rằng là đã liên kết.

Các nhóm khác cũng đã sử dụng malware. Evilnum có xu hướng tấn công các công ty công nghệ tài chính, theo eSentire, để đánh cắp spreadsheets, danh sách khách hàng và thông tin đăng nhập giao dịch, trong khi Cobalt Group thường tập trung tấn công các công ty tài chính bằng more_eggs backdoor.

Thay vì tấn công một người đang thất nghiệp, các chuyên gia đồng ý rằng mục tiêu của chiến dịch có khả năng tấn công những người đang có việc làm và có quyền truy cập vào dữ liệu nhạy cảm.

Làm thế nào để tránh trở thành nạn nhân của LinkedIn.

How to Protect Yourself From Cyber Attacks? - GeeksforGeeks

Các nhà nghiên cứu cho biết động cơ của các cuộc tấn công là cho tới nay vẫn mập mờ.

Chris Morales, Giám đốc điều hành của Netenrich, nói với Threatpost: “Không kiếm được gì nhiều từ một công nhân thất nghiệp khi sử dụng các thiết bị cá nhân của họ. “Ngoài có lẽ là thông tin về người mà họ đang nói chuyện và hy vọng sẽ xâm nhập vào một mạng lưới trong tương lai. Trong trạng thái làm việc tại nhà, các thiết bị cá nhân và tổ chức cùng tồn tại trên cùng một mạng lưới”.

Trong báo cáo, eSentire luôn theo sát các cuộc more_eggs LinkedIn attack nhắmvào một người nào đó trong lĩnh vực công nghệ chăm sóc sức khỏe. Chris Hazelton với nhà cung cấp bảo mật di động Lookout nói với Threatpost rằng nạn nhân được cho là có khả năng được chọn để bọn hacker có thể “truy cập vào cơ sở hạ tầng đám mây của tổ chức, với mục tiêu tiềm năng là lấy cắp dữ liệu nhạy cảm liên quan đến sở hữu trí tuệ hoặc thậm chí là các thiết bị y tế kiểm soát cơ sở hạ tầng. Ông nói thêm, “Các thiết bị được kết nối, đặc biệt là các thiết bị y tế, có thể là một kho tàng cho tội phạm mạng.”

Morales nói thêm rằng để tránh bị tấn công, tất cả người dùng trên LinkedIn nên đề phòng các trò gian lận bằng phishing.

“Nhắm tới và tấn công LinkedIn không phải là một chuyện khó khăn,” ông nói thêm. “Đó là phương tiện truyền thông xã hội dành cho thế giới doanh nghiệp với mô tả về những người đóng vai trò quan trọng trong mọi ngành. Tôi cho rằng mình cũng là một mục tiêu  ”.

nguồn : threatpost.com



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật