Pesquisadores de segurança cibernética detectaram um ataque de phishing distribuindo o malware More_eggs mascarando-o como um currículo, uma técnica detectada originalmente há mais de dois anos.
O ataque, que não teve sucesso, teve como alvo uma empresa não identificada do setor de serviços industriais em maio de 2024, divulgou a empresa canadense de segurança cibernética eSentire na semana passada.
“Especificamente, o indivíduo visado period um recrutador que foi enganado pelo agente da ameaça fazendo-o pensar que period um candidato a emprego e o atraiu ao seu web site para baixar o carregador”, afirmou.
More_eggs, que se acredita ser o trabalho de um ator de ameaça conhecido como Golden Chickens (também conhecido como Venom Spider), é um backdoor modular capaz de coletar informações confidenciais. É oferecido a outros criminosos sob um modelo de Malware como Serviço (MaaS).
No ano passado, a eSentire desmascarou as identidades reais de dois indivíduos – Chuck, de Montreal, e Jack – que estariam comandando a operação.
A cadeia de ataque mais recente faz com que os atores mal-intencionados respondam às ofertas de emprego do LinkedIn com um hyperlink para um web site falso de obtain de currículos que resulta no obtain de um arquivo de atalho do Home windows (LNK) malicioso.
É importante notar que a atividade anterior da More_eggs teve como alvo profissionais no LinkedIn com ofertas de emprego transformadas em armas para induzi-los a baixar o malware.
“Navegar para o mesmo URL dias depois resulta no currículo do indivíduo em HTML simples, sem indicação de redirecionamento ou obtain”, observou eSentire.
O arquivo LNK é então usado para recuperar uma DLL maliciosa aproveitando um programa legítimo da Microsoft chamado ie4uinit.exe, após o qual a biblioteca é executada usando regsvr32.exe para estabelecer persistência, coletar dados sobre o host infectado e descartar cargas adicionais, incluindo o Backdoor More_eggs baseado em JavaScript.
“As campanhas More_eggs ainda estão ativas e seus operadores continuam a usar táticas de engenharia social, como se passar por candidatos a empregos que desejam se candidatar a uma função específica e atrair vítimas (especificamente recrutadores) para baixar seu malware”, disse eSentire.
“Além disso, campanhas como more_eggs, que usam a oferta MaaS, parecem ser esparsas e seletivas em comparação com redes típicas de distribuição de malspam.”
O desenvolvimento ocorre no momento em que a empresa de segurança cibernética também revelou detalhes de uma campanha de obtain drive-by que emprega websites falsos para a ferramenta ativadora do Home windows KMSPico para distribuir o Vidar Stealer.
“O web site kmspico(.)ws está hospedado no Cloudflare Turnstile e requer entrada humana (inserindo um código) para baixar o pacote ZIP ultimate”, observou eSentire. “Essas etapas são incomuns para uma página de obtain de aplicativo legítimo e são executadas para ocultar a página e a carga ultimate de rastreadores automatizados da net”.
Campanhas semelhantes de engenharia social também criaram websites semelhantes que se fazem passar por software program legítimo como o Superior IP Scanner para implantar o Cobalt Strike, disse o Trustwave SpiderLabs na semana passada.
Também segue o surgimento de um novo package de phishing chamado V3B, que foi utilizado para identificar clientes bancários na União Europeia com o objetivo de roubar credenciais e senhas de uso único (OTPs).
O package, oferecido por US$ 130 a US$ 450 por mês por meio de um modelo Phishing-as-a-Service (PhaaS) por meio da darkish net e um canal Telegram dedicado, está ativo desde março de 2023. Ele foi projetado para oferecer suporte a mais de 54 bancos localizadas na Áustria, Bélgica, Finlândia, França, Alemanha, Grécia, Irlanda, Itália, Luxemburgo e Países Baixos.
O aspecto mais importante do V3B é que ele apresenta modelos personalizados e localizados para imitar vários processos de autenticação e verificação comuns aos sistemas bancários on-line e de comércio eletrônico na região.
Ele também vem com recursos avançados para interagir com as vítimas em tempo actual e obter seus códigos OTP e PhotoTAN, bem como executar um ataque de login jacking de código QR (também conhecido como QRLJacking) em serviços como o WhatsApp que permitem login por meio de códigos QR.
“Desde então, eles construíram uma base de clientes focada em atingir instituições financeiras europeias”, disse Resecurity. “Atualmente, estima-se que centenas de cibercriminosos estejam usando este package para cometer fraudes, deixando as vítimas com contas bancárias vazias”.
