Cuidado: los nuevos ataques de phishing se dirigen a los usuarios de LinkedIn

La economía mundial se ha visto seriamente alterada por la pandemia de Covid-19 y las réplicas todavía se pueden sentir en muchas industrias y sectores. Muchas personas perdieron sus trabajos en las condiciones cambiantes y, lógicamente, muchas de ellas ingresaron a LinkedIn para buscar nuevas oportunidades.

Los malos actores siempre están buscando nuevas oportunidades también, y vieron esta afluencia de éxitos de LinkedIn como una de esas oportunidades. Los investigadores de seguridad que trabajan con la empresa de ciberseguridad de detección y respuesta eSentire informaron recientemente sobre una nueva campaña de phishing dirigida a los usuarios de LinkedIn con malware malicioso y peligroso.

El malware sin archivos representa una amenaza significativa

Según los expertos de eSentire, el grupo de amenazas detrás de la nueva campaña se llama Golden Chickens. El malware que utilizan en esta nueva campaña de phishing entregada a través de mensajes de LinkedIn se llama, como corresponde, "more_eggs".

More_eggs es un malware sin archivos que abusa de los procesos legítimos de Windows y les proporciona funciones e instrucciones específicas almacenadas en scripts. Esto lo hace particularmente difícil de detectar.

Otra cosa notable de esta campaña es que no es como la mayoría de los intentos de phishing generalizados, en los que se envían millones de correos electrónicos a millones de usuarios potencialmente activos. El enfoque utilizado aquí es mucho más específico y puede denominarse spear phishing, un ataque que utiliza nombres y enfoques visualmente creíbles que tienen muchas más probabilidades de atraer a la víctima y hacer que haga clic en el archivo malicioso.

Los mensajes enviados a las bandejas de entrada de los usuarios de LinkedIn eran muy específicos y contenían el trabajo real que ocuparon por última vez, junto con la palabra "posición" adjunta al final, lo que implica una oferta de trabajo real para el mismo lugar. Esto solo lo convierte en un señuelo muy creíble y parece que este enfoque dirigido está funcionando.

El archivo malicioso utilizado por more_eggs es un zip que, una vez abierto, despliega silenciosamente el malware. Una vez infectado, el sistema está abierto a los actores del hilo detrás del malware y se pueden descargar e implementar de forma remota cargas útiles maliciosas adicionales.

"Malware-as-a-service" regresa

Esta reciente campaña more_eggs tampoco la lleva a cabo el grupo Golden Chickens. eSentire informa que el actor de la amenaza está vendiendo o licenciando el malware a terceros y utilizándolo como un servicio. Este concepto no es revolucionario ni nuevo, pero el hecho de que nombres de grandes actores de amenazas como Colabt Group estén usando more_eggs muestra que está funcionando bien para los piratas informáticos.

Los expertos que trabajan con eSentire señalaron una serie de indicadores de amenazas específicos para more_eggs. Estos incluyen la baliza C&C, el hash del archivo zip y el servidor de descarga utilizado por more_eggs:

  • Baliza C&C: d27qdop2sa027t.cloudfront [.] Net
  • Hash del archivo zip: 776c355a89d32157857113a49e516e74
  • Servidor: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com

 

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".


HTML no está permitido.