LinkedIn-Benutzer im Visier einer Spear-Phishing-Kampagne

Cyber Security News

Sicherheitsforscher warnen LinkedIn-Nutzer vor unerwünschten Jobangeboten, nachdem sie eine neue Spear-Phishing-Kampagne aufgedeckt haben, die darauf abzielt, Trojaner-Malware auf ihren Geräten zu installieren.

Die eSentire Threat Response Unit (TRU) behauptete gestern, dass Personen mit angepassten Dateien angesprochen werden, die den gleichen Namen tragen wie ihre eigene aktuelle Rolle.

“Wenn das Opfer das gefälschte Jobangebot öffnet, initiiert es unwissentlich die heimliche Installation der dateilosen Backdoor more_eggs. Sobald sie geladen ist, kann die ausgeklügelte Backdoor zusätzliche bösartige Plugins herunterladen und direkten Zugriff auf den Computer des Opfers ermöglichen”, heißt es weiter.

“Die Bedrohungsgruppe hinter more_eggs, Golden Chickens, verkauft die Backdoor im Rahmen einer Malware-as-a-Service (MaaS)-Vereinbarung an andere Cyber-Kriminelle.”

Sobald more_eggs installiert ist, kann die Backdoor von Golden Chickens-Kunden genutzt werden, um ihre eigenen Kampagnen voranzutreiben, indem sie mit zusätzlicher Malware wie Ransomware, Credential Stealers und Banking-Trojanern infiziert werden, warnt eSentire. Der Backdoor-Zugang könne auch genutzt werden, um sensible Daten vom Rechner des Opfers ausfindig zu machen und zu exfiltrieren, heißt es weiter.

Es wird vermutet, dass die Gruppe die hohe Anzahl von COVID-19-Entlassungen in den USA ausnutzt, um diese E-Mail-Kampagne zu verbreiten, und dabei die eigene LinkedIn-Stellenposition des Opfers als Name der bösartigen Zip-Datei einfügt, um die Wahrscheinlichkeit zu erhöhen, dass sie diese öffnet.

Der Trojaner missbraucht auch legitime Windows-Prozesse wie WMI, um die Erkennung durch herkömmliche AV-Tools zu umgehen.

Die Kampagne ähnelt einer Kampagne aus dem Jahr 2019, bei der Mitarbeiter von US-Einzelhandels-, Unterhaltungs- und Pharmaunternehmen von demselben more_eggs-Trojaner angegriffen wurden, der als Jobangebot getarnt war, das zu ihrer eigenen aktuellen Position passte, so eSentire.

Bekannte Advanced Persistent Threat (APT)-Gruppen wie FIN6, Cobalt Group und Evilnum wurden in der Vergangenheit mit more_eggs in ihren Angriffen gesichtet, obwohl unklar ist, wer hinter der Gruppe Golden Chickens steckt.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com