„More_eggs“ je nová kampaň hackerov. Vírus sa schováva v nečakanom súbore a kradne bankové účty, e-mailové a účty IT administrátorov
Bezpečnostní experti upozorňujú na novú vlnu podvodov, ktoré využívajú falošné stránky s CV, no namiesto toho stiahnu zamestnávateľom do zariadenia malvér.
Bezpečnostní analytici z eSentrie odhalili kampaň malvéru more_eggs, ktorá cielila na sféru industriálnych služieb.
Škodlivý softvér cielil na recruiterov. Útočníci presvedčili obeť, že sú záujemcami o zamestnanie a cez phishing sa pokúšajú obete nalákať na falošnú stránku, cez ktorú by sa malvér dostal do ich zariadení. Aktivitu bezpečnostní experti pozorovali v máji tohto roku, no malvér môže byť aktívny od roku 2022.
More_eggs malvér obsahuje niekoľko komponentov, ktoré kradnú prihlasovacie mená a heslá pre korporátne bankové účty, e-mailové účty a účty IT administrátorov. Predáva sa na dark webe ako “malvér-ako-služba”. Ide o proces, kedy skúsení hackeri vytvoria škodlivý softvér a ten následne prenajímajú menej skúseným útočníkom za nejaký poplatok.
Bezpečnostní experti predpokladajú, že za malvérom stojí hackerská skupina Golden Chickens, známa aj ako Venom Spider. Tá prenajala v minulosti more_eggs skúseným zločineckým skupinám ako FIN6, Evilnum alebo Cobalt.
Útočníci oslovujú obete cez pracovné portály
Podvod sa začína na platforme LinkedIn, ako reakcia na ponuku práce. Kyberzločinci sa tvária ako potenciálni kandidáti, pričom poskytujú odkaz na falošnú stránku, odkiaľ sa do zariadení recruiterov alebo zamestnávateľov stiahne malvér. Po kliknutí na odkaz sa obete dostanú na stránku, kde sa nachádza tlačidlo “Stiahnuť CV”. Po kliknutí na tlačidlo sa do počítača stiahol škodlivý súbor.
Neprehliadni
Podobné metódy bezpečnostní analytici pozorovali aj počas starších kampaní malvéru more_eggs. Počas minulých útokov však hrali útočníci obe úlohy. V niektorých prípadoch boli zamestnávatelia, v iných zas záujemcovia o prácu. Kampane sa objavujú v obdobiach, kedy je väčšia pravdepodobnosť, že spoločnosti hľadajú nových zamestnancov. Útoky však cielia nielen na organizácie, ale aj na jednotlivcov.
Kyberzločinci útočia počas konkrétneho okna
Zaujímavosťou je, že útoky prebiehajú počas určitého okna. Ak možná obeť, alebo v tomto prípade bezpečnostný analytik, navštívi stránku niekoľko dní po útoku, namiesto falošného tlačidla na stiahnutie životopisu ho prekvapí CV napísané v jednoduchom HTML kóde.
Čo sa však odohráva po stiahnutí falošného LNK súboru? Tento súbor sa v prípade najnovších útokov nazýval “Christian C. Velour”. Keďže ide o skratku vo Windowse, tá vedie k súboru “cmd.exe” a nasleduje dlhý a nejasný príkaz. Keď ale experti rozlúštili čo sa za ním skrýva, zistili, že ide o sériu stringov, ktoré sa ukladajú do nového súboru INF. V tomto prípade slúži súbor ako referenčný bod pre URL adresu, odkiaľ sa stiahne škodlivý DLL súbor.
Po nainštalovaní malvéru more_eggs škodlivý softvér kradne citlivé údaje zo zariadenia obete a posiela ich na C2 server útočníka. Bezpečnostní analytici upozorňujú, že rôzne kampane more_eggs môžu byť stále aktívne. Ak patríte medzi zamestnávateľov, dávajte si dobrý pozor na podobné falošné stránky. Zdá sa, že útočníci využívajú primárne LinkedIn. Preto ak používate túto platformu, neotvárajte neznáme odkazy ani z nich nesťahujte životopis. Seriózny záujemca vám vie poslať CV aj v inom formáte.
Komentáre