Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs

Μια νέα εκστρατεία spear-phishing στοχεύει υπεύθυνους προσλήψεων εταιρειών με ένα JavaScript backdoor με το όνομα More_eggs.

“Ένα πειστικό δόλωμα ξεγέλασε έναν υπεύθυνο προσλήψεων και τον έκανε να κατεβάσει και να εκτελέσει ένα κακόβουλο αρχείο μεταμφιεσμένο σε βιογραφικό. Αυτό οδήγησε σε μόλυνση του συστήματος με το backdoor more_eggs“, είπαν οι ερευνητές της Trend Micro.

Το More_eggs, που πωλείται ως malware-as-a-service (MaaS), είναι ένα κακόβουλο λογισμικό που μπορεί να κλέβει credentials, για διαδικτυακούς τραπεζικούς λογαριασμούς, λογαριασμούς email και λογαριασμούς διαχειριστή IT. Έχει συνδεθεί με την ομάδα Golden Chickens (γνωστή και ως Venom Spider) αλλά έχει χρησιμοποιηθεί από πολλές άλλες ομάδες όπως οι FIN6 (γνωστοί και ως ITG08), Cobalt και Evilnum.

Δείτε επίσης: Zimperium: Οι mobile συσκευές στο στόχαστρο phishing επιθέσεων

Σύμφωνα με την Trend Micro, στην πιο πρόσφατη επίθεση, οι φορείς απειλών έστειλαν ένα spear-phishing email σε μια πιθανή προσπάθεια να οικοδομήσουν μια σχέση εμπιστοσύνης με το θύμα. Η επίθεση παρατηρήθηκε στα τέλη Αυγούστου 2024, με στόχο έναν επικεφαλής αναζήτησης ταλέντων που εργάζεται στον τομέα της μηχανικής.

“Λίγο αργότερα, ένας υπεύθυνος προσλήψεων κατέβασε ένα υποτιθέμενο βιογραφικό, το John Cboins.zip, από μια διεύθυνση URL χρησιμοποιώντας το Google Chrome“, είπαν οι ερευνητές. “Δεν καθορίστηκε πού απέκτησε τη διεύθυνση URL αυτός ο χρήστης. Ωστόσο, ήταν σαφές από τις δραστηριότητες και των δύο χρηστών ότι αναζητούσαν έναν μηχανικό πωλήσεων“.

Η εν λόγω διεύθυνση URL, johncboins[.]com, περιέχει ένα κουμπί “Λήψη βιογραφικού” για να δελεάσει το θύμα να κατεβάσει ένα αρχείο ZIP που περιέχει το αρχείο LNK.

Το άνοιγμα του αρχείου LNK με διπλό κλικ οδηγεί στην εκτέλεση obfuscated commands, και αυτές οδηγούν στην εκτέλεση ενός κακόβουλου DLL. Αυτό το DLL είναι υπεύθυνο για την εγκατάσταση του More_eggs backdoor μέσω ενός launcher.

Δείτε επίσης: Η πλατφόρμα phishing iServer καταργήθηκε από τις αρχές

Το More_eggs ελέγχει, αρχικά, εάν εκτελείται με δικαιώματα διαχειριστή ή χρήστη, και στη συνέχεια εκτελεί μια σειρά εντολών για να κάνει reconnaissance του παραβιασμένου κεντρικού υπολογιστή. Στη συνέχεια, συνδέεται με έναν διακομιστή εντολών και ελέγχου (C2), για να λάβει και να εκτελέσει δευτερεύοντα malware payloads.

Η Trend Micro είπε ότι παρατήρησε μια άλλη παραλλαγή της καμπάνιας που περιλαμβάνει στοιχεία PowerShell και Visual Basic Script (VBS) ως μέρος της διαδικασίας μόλυνσης.

“Η απόδοση αυτών των επιθέσεων σε συγκεκριμένη ομάδα είναι δύσκολη, λόγω της φύσης του MaaS, το οποίο επιτρέπει τη χρήση διαφόρων εξαρτημάτων και υποδομής επίθεσης

από συνεργάτες“, ανέφερε. “Αυτό καθιστά δύσκολο τον εντοπισμό συγκεκριμένων παραγόντων απειλής, καθώς πολλές ομάδες μπορούν να χρησιμοποιήσουν τα ίδια κιτ εργαλείων και την ίδια υποδομή που παρέχονται από υπηρεσίες όπως αυτές που προσφέρει η Golden Chickens“.

Τούτου λεχθέντος, υπάρχει υποψία ότι η επίθεση θα μπορούσε να ήταν έργο της ομάδας FIN6, ειδικά αν ληφθούν υπόψη οι τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιήθηκαν.

Δείτε επίσης: SambaSpy Malware: Στοχεύει Ιταλούς χρήστες με phishing emails

Προστασία από spear-phishing emails

Να είστε προσεκτικοί με απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου: Εάν λάβετε ένα email από άγνωστο αποστολέα και ζητά ευαίσθητες πληροφορίες ή ζητά να ανοίξετε ή να κατεβάσετε ένα αρχείο, να είστε προσεκτικοί. Ελέγχετε πάντα τον υποτιθέμενο αποστολέα μέσω ενός ξεχωριστού καναλιού επικοινωνίας πριν απαντήσετε.

Έλεγχος διευθύνσεων URL: Τοποθετήστε το δείκτη του ποντικιού σας πάνω από τυχόν συνδέσμους στο email και ελέγξτε αν ταιριάζουν με τη διεύθυνση URL που εμφανίζεται στο κείμενο του email. Εάν δεν ταιριάζουν, μπορεί να είναι σημάδι απάτης.

Μην ανοίγετε συνημμένα από άγνωστες πηγές: Το άνοιγμα συνημμένων από άγνωστους αποστολείς μπορεί ενδεχομένως να μολύνει τον υπολογιστή σας με κακόβουλο λογισμικό ή ransomware. Εάν δεν είστε σίγουροι για ένα συνημμένο, μην το ρισκάρετε.

Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων: Αυτό προσθέτει ένα πρόσθετο επίπεδο ασφάλειας απαιτώντας περισσότερα από έναν κωδικό πρόσβασης για την πρόσβαση σε λογαριασμούς και συστήματα. Μπορεί να αποτρέψει τους hackers από το να αποκτήσουν πρόσβαση ακόμα κι αν έχουν αποκτήσει διαπιστευτήρια σύνδεσης μέσω επίθεσης spear-phishing.

Μείνετε ενημερωμένοι για νέες απειλές: Μείνετε ενημερωμένοι για τις πιο πρόσφατες μεθόδους που χρησιμοποιούνται σε επιθέσεις spear-phishing και ενημερωθείτε για το πώς να τις αναγνωρίζετε.

Χρησιμοποιήστε λογισμικό κατά του phishing: Υπάρχουν διάφορα διαθέσιμα εργαλεία κατά του phishing που μπορούν να βοηθήσουν στον εντοπισμό και την πρόληψη αυτών των επιθέσεων. Σκεφτείτε να χρησιμοποιήσετε ένα για πρόσθετη προστασία.

Πηγή: thehackernews.com