Attention: de nouvelles attaques de phishing ciblent les utilisateurs de LinkedIn

L'économie mondiale a été gravement perturbée par la pandémie de Covid-19 et les répliques peuvent encore se faire sentir dans de nombreuses industries et secteurs. Beaucoup de gens ont perdu leur emploi dans les conditions changeantes et, logiquement, beaucoup sont allés sur LinkedIn à la recherche de nouvelles opportunités.

Les mauvais acteurs sont également toujours à la recherche de nouvelles opportunités, et ils ont vu cet afflux de hits LinkedIn comme une de ces opportunités. Les chercheurs en sécurité travaillant avec la société de détection et de cybersécurité eSentire ont récemment signalé une nouvelle campagne de phishing qui ciblait les utilisateurs de LinkedIn avec des logiciels malveillants sournois et dangereux.

Les logiciels malveillants sans fichier posent une menace importante

Selon les experts d'eSentire, le groupe de menaces derrière la nouvelle campagne s'appelle Golden Chickens. Le malware qu'ils utilisent dans cette nouvelle campagne de phishing diffusée via des messages LinkedIn s'appelle, à juste titre, " more_eggs ".

More_eggs est un malware sans fichier qui abuse des processus Windows légitimes et leur fournit des fonctions et des instructions spécifiques stockées dans des scripts. Cela le rend particulièrement difficile à détecter.

Une autre chose notable à propos de cette campagne est qu'elle ne ressemble pas à la plupart des tentatives de phishing générales, où des millions d'e-mails sont envoyés à potentiellement des millions d'utilisateurs actifs. L'approche utilisée ici est beaucoup plus ciblée et peut être appelée spear phishing - une attaque qui utilise des noms et des approches visuellement crédibles qui sont beaucoup plus susceptibles d'attirer la victime et de la faire cliquer sur le fichier malveillant.

Les messages envoyés aux boîtes de réception des utilisateurs de LinkedIn étaient très spécifiques et contenaient le travail réel qu'ils occupaient en dernier, ainsi que le mot «poste» ajouté à l'arrière, ce qui impliquait une véritable offre d'emploi pour le même poste. Cela seul fait un leurre très crédible et il semble que cette approche ciblée fonctionne.

Le fichier malveillant utilisé par more_eggs est un zip qui, une fois ouvert, déploie discrètement le malware. Une fois infecté, le système est ouvert aux acteurs de thread derrière le malware et des charges utiles malveillantes supplémentaires peuvent être téléchargées et déployées à distance.

"Malware-as-a-service" fait un retour

Cette récente campagne more_eggs n'est pas non plus menée par le groupe Golden Chickens lui-même. eSentire informe que l'acteur de la menace vend plutôt ou octroie des licences au logiciel malveillant à des tiers malveillants et l'exploite en tant que service. Ce concept n'est ni révolutionnaire ni nouveau, mais le fait que de grands noms d'acteurs de menaces tels que Colabt Group utilisent more_eggs montre qu'il fonctionne bien pour les pirates.

Les experts travaillant avec eSentire ont identifié un certain nombre d'indicateurs de menace spécifiques à more_eggs. Ceux-ci incluent la balise C&C, le hachage du fichier zip et le serveur de téléchargement utilisé par more_eggs:

• Balise C&C: d27qdop2sa027t.cloudfront [.] Net
• Hachage du fichier zip: 776c355a89d32157857113a49e516e74
• Serveur: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com