Hacker zielen mit “more_eggs”-Malware über LinkedIn-Stellenangebote auf Berufstätige

Cyber Security News

Eine neue Spear-Phishing-Kampagne zielt auf Berufstätige auf LinkedIn mit bewaffneten Jobangeboten ab und versucht, die Ziele mit einem ausgeklügelten Backdoor-Trojaner namens “more_eggs” zu infizieren.

Um die Erfolgschancen zu erhöhen, nutzen die Phishing-Köder bösartige ZIP-Archivdateien, die den gleichen Namen tragen wie die Jobtitel der Opfer aus deren LinkedIn-Profilen.

“Wenn zum Beispiel der Job des LinkedIn-Mitglieds als Senior Account Executive-International Freight aufgeführt ist, würde die bösartige ZIP-Datei den Titel Senior Account Executive-International Freight position tragen (man beachte das ‘position’ am Ende)”, so die Threat Response Unit (TRU) des Cybersecurity-Unternehmens eSentire in einer Analyse. “Nach dem Öffnen des gefälschten Stellenangebots initiiert das Opfer unwissentlich die heimliche Installation der dateilosen Backdoor more_eggs”.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Kampagnen, die more_eggs mit demselben Modus Operandi ausliefern, wurden mindestens seit 2018 gesichtet, wobei die Backdoor einem Malware-as-a-Service (MaaS)-Anbieter namens Golden Chickens zugeschrieben wird. Die Gegner hinter dieser neuen Angriffswelle sind noch unbekannt, obwohl more_eggs in der Vergangenheit von verschiedenen Cyberkriminellen wie Cobalt, FIN6 und EvilNum eingesetzt wurde.

[Blocked Image: https://thehackernews.com/images/-LpRj2eC98Z4/YGwFEhTsHdI/AAAAAAAACLI/y6I0_Gouz_QJI4aqnq5bjCJMcZm0b5bjQCLcBGAsYHQ/s0/job-offer.jpg]

Einmal installiert, behält more_eggs ein unauffälliges Profil bei, indem es legitime Windows-Prozesse kapert, während es das Täuschungsdokument “Bewerbung” präsentiert, um Ziele von laufenden Hintergrundaufgaben abzulenken, die von der Malware ausgelöst werden. Darüber hinaus kann er als Kanal fungieren, um zusätzliche Nutzdaten von einem vom Angreifer kontrollierten Server abzurufen, wie z. B. Banking-Trojaner, Ransomware, Diebstahl von Anmeldeinformationen, und sogar die Backdoor als Stützpunkt im Netzwerk des Opfers nutzen, um Daten zu exfiltrieren.

[Blocked Image: https://thehackernews.com/images/-P7kvKFVSqWU/YGXEz3gk_tI/AAAAAAAA3uY/qiCyRaK_IA07iGtzVQCOTsnjHTYGR_gKgCLcBGAsYHQ/s728-e100/thn-728-2.png]

Wenn überhaupt, dann ist die jüngste Entwicklung ein weiteres Indiz dafür, wie Bedrohungsakteure ihre Angriffe mit personalisierten Ködern immer weiter verfeinern, um ahnungslose Benutzer zum Herunterladen von Malware zu verleiten.

“Seit der COVID-Pandemie sind die Arbeitslosenzahlen dramatisch angestiegen. Das ist ein perfekter Zeitpunkt, um Arbeitssuchende auszunutzen, die verzweifelt auf der Suche nach einem Arbeitsplatz sind”, so die Forscher. “Daher ist ein maßgeschneiderter Jobköder in diesen unruhigen Zeiten noch verlockender.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com