Foi observada uma campanha de e-mail de spear-phishing visando recrutadores com um backdoor JavaScript chamado More_eggs, indicando esforços persistentes para destacar o setor sob o disfarce de falsas iscas para candidatos a empregos.
“Uma sofisticada isca de spearphishing enganou um oficial de recrutamento para que ele baixasse e executasse um arquivo malicioso disfarçado de currículo, levando a uma infecção backdoor more_eggs”, disseram os pesquisadores da Development Micro Ryan Soliven, Maria Emreen Viray e Fe Cureg em uma análise.
More_eggs, vendido como malware como serviço (MaaS), é um software program malicioso que vem com recursos para desviar credenciais, incluindo aquelas relacionadas a contas bancárias on-line, contas de e-mail e contas de administrador de TI.
É atribuído a um ator de ameaça chamado grupo Golden Chickens (também conhecido como Venom Spider) e foi usado por vários outros grupos de crime eletrônico como FIN6 (também conhecido como ITG08), Cobalt e Evilnum.
No início de junho deste ano, a eSentire divulgou detalhes de um ataque semelhante que utiliza o LinkedIn como um vetor de distribuição para currículos falsos hospedados em um web site controlado por invasores. Os arquivos, na realidade, são arquivos de atalho do Home windows (LNK) que, ao serem abertos, acionam a sequência de infecção.
As últimas descobertas da Development Micro marcam um ligeiro desvio do padrão observado anteriormente, pois os agentes da ameaça enviaram um e-mail de spear-phishing em uma provável tentativa de construir confiança e ganhar sua confiança. O ataque foi observado no last de agosto de 2024, tendo como alvo um líder de busca de talentos que trabalhava no setor de engenharia.
“Pouco depois, um oficial de recrutamento baixou um suposto currículo, John Cboins.zip, de uma URL usando o Google Chrome”, disseram os pesquisadores. “Não foi determinado onde este usuário obteve o URL. No entanto, ficou claro pelas atividades de ambos os usuários que eles estavam procurando um engenheiro de vendas interno”.
O URL em questão, johncboins(.)com, contém um botão “Baixar CV” para motivar a vítima a baixar um arquivo ZIP contendo o arquivo LNK. É importante notar que a cadeia de ataque relatada pelo eSentire também inclui um web site idêntico com um botão semelhante que baixa diretamente o arquivo LNK.
Clicar duas vezes no arquivo LNK resulta na execução de comandos ofuscados que levam à execução de uma DLL maliciosa, que, por sua vez, é responsável por eliminar o backdoor More_eggs por meio de um inicializador.
More_eggs inicia suas atividades verificando primeiro se está sendo executado com privilégios de administrador ou usuário, seguido pela execução de uma série de comandos para realizar o reconhecimento do host comprometido. Posteriormente, ele se direciona para um servidor de comando e controle (C2) para receber e executar cargas secundárias de malware.
A Development Micro disse que observou outra variação da campanha que inclui componentes PowerShell e Visible Primary Script (VBS) como parte do processo de infecção.
“Atribuir esses ataques é um desafio devido à natureza do MaaS, que permite a terceirização de vários componentes e infraestrutura de ataque”, afirmou. “Isso torna difícil identificar atores de ameaças específicos, já que vários grupos podem usar os mesmos kits de ferramentas e infraestrutura fornecidos por serviços como os oferecidos pelo Golden Chickens”.
Dito isto, suspeita-se que o ataque possa ter sido obra da FIN6, observou a empresa, citando as táticas, técnicas e procedimentos (TTPs) empregados.
O desenvolvimento ocorre semanas depois que HarfangLab lançou luz sobre o PackXOR, um empacotador privado usado pelo grupo de crimes cibernéticos FIN7 para criptografar e ofuscar a ferramenta AvNeutralizer.
A empresa francesa de segurança cibernética disse ter observado o mesmo empacotador sendo usado para “proteger cargas não relacionadas”, como o minerador de criptomoedas XMRig e o rootkit r77, levantando a possibilidade de que também possa ser aproveitado por outros atores de ameaças.
“Os desenvolvedores do PackXOR podem de fato estar conectados ao cluster FIN7, mas o empacotador parece ser usado para atividades não relacionadas ao FIN7”, disse HarfangLab.
