El grupo de piratería Golden Chicken está apuntando Usuarios de LinkedIn con ofertas de trabajo falsas para infectarlos con una sofisticada cepa de malware lo que les puede permitir tomar el control de las computadoras de las víctimas.
Estos piratas informáticos propagan el malware More_Eggs pesca submarina víctimas con un archivo .ZIP malicioso utilizando el trabajo de la víctima, como aparece en LinkedIn, según la compañía de seguridad eSentire.
Estos archivos están titulados para reflejar con precisión el título de la publicación. Por ejemplo, un usuario que muestre «Ejecutivo de cuentas senior de carga internacional» como trabajo recibirá un archivo .ZIP malicioso titulado «Ejecutivo de cuentas senior – puesto de carga internacional».
Una vez abierto, las víctimas inician la instalación exitosa de la puerta trasera More_eggs, que puede descargar complementos maliciosos adicionales y proporcionar acceso remoto a su dispositivo.
Golden Chicken vende la puerta trasera debajo de un malware como servicio (MaaS) a otros ciberdelincuentes, hecho posible por la tendencia de More_Eggs a mantener un perfil de manguera abusando de procesos legítimos de Windows.
Los investigadores de eSentire han interrumpido un incidente activo de spear phishing en el que un profesional de la salud descargó y ejecutó un archivo .ZIP malicioso.
Los investigadores vieron a la víctima activar inadvertidamente VenomLNK, una etapa temprana de More_Eggs que abusó de las herramientas de administración de Windows para habilitar el cargador de complementos, TerraLoader. A su vez, esto secuestra los procesos cmstp y regsvr32.
Mientras se inicia TerraLoader, se presenta a la víctima un documento de Word engañoso para identificar una solicitud de empleo, pero no tiene ningún propósito funcional en la infección. Esto es simplemente una estafa que distrae al usuario de las tareas en segundo plano de More_Eggs.
TerraLoader luego instala msxsl en el perfil de itinerancia del usuario y carga la carga útil, antes de señalarlo a un servidor de comando y control (C&C) a través de la copia de msxsl. Este faro luego comunica que la puerta trasera More_Eggs está lista para que el cliente Golden Chicken se conecte y comience a cumplir su objetivo.
Las posibilidades, dependiendo del grupo al que se vende More_Eggs en el modelo MaaS, incluyen infección con cepas de malware adicionales, como ransomwareo intrusión en la red de la víctima para filtrar datos.
Todos los investigadores hasta ahora no han podido determinar cuáles podrían ser los objetivos finales de esta campaña, aunque reflejan un campaña similar informada en febrero de 2019 que también involucró la puerta trasera More_Eggs.
