Campanha de Spear-Phishing Alvo de Recrutadores

Uma recente campanha de spear-phishing tem como alvo recrutadores, utilizando um backdoor em JavaScript chamado More_eggs. Essa atividade indica esforços persistentes para focar no setor, disfarçando-se como iscas de candidatos a emprego.

“Uma isca sofisticada de spear-phishing enganou um oficial de recrutamento a baixar e executar um arquivo malicioso disfarçado como um currículo, resultando em uma infecção por backdoor more_eggs,” relataram pesquisadores da Trend Micro.

O Que É o More_eggs?

More_eggs, comercializado como malware como serviço (MaaS), é um software malicioso com a capacidade de roubar credenciais. Isso inclui informações relacionadas a contas de bancos online, contas de email e contas de administradores de TI. Este malware é atribuído a um ator de ameaça conhecido como Golden Chickens (também conhecido como Venom Spider), e tem sido usado por vários outros grupos de crimes cibernéticos, como FIN6, Cobalt e Evilnum.

Detalhes da Campanha Recente

No início de junho, a eSentire divulgou detalhes sobre um ataque similar que utilizou o LinkedIn como vetor de distribuição para currículos falsos hospedados em um site controlado pelos atacantes. Na verdade, os arquivos eram arquivos de atalho do Windows (LNK) que, ao serem abertos, desencadeavam uma sequência de infecção.

As novas descobertas da Trend Micro revelam uma leve alteração no padrão anteriormente observado. Os atores de ameaça enviaram um email de spear-phishing em uma provável tentativa de construir confiança. O ataque foi identificado no final de agosto de 2024, visando um líder de busca de talentos no setor de engenharia.

“Logo após, um oficial de recrutamento baixou um suposto currículo chamado John Cboins.zip de uma URL usando o Google Chrome,” disseram os pesquisadores.

Mecanismo do Ataque

A URL em questão, johncboins[.]com, contém um botão “Download CV” para atrair a vítima a baixar um arquivo ZIP que contém o arquivo LNK. Ao clicar duas vezes no arquivo LNK, são executados comandos ofuscados que levam à execução de uma DLL maliciosa. Essa DLL é responsável por instalar o backdoor More_eggs através de um launcher.

• O More_eggs começa verificando se está sendo executado com privilégios de administrador ou de usuário.
• Em seguida, realiza uma série de comandos para realizar reconhecimento da máquina comprometida.
• Por fim, se conecta a um servidor de comando e controle (C2) para receber e executar cargas úteis secundárias de malware.

A Trend Micro observou outra variação da campanha que inclui componentes de PowerShell e Visual Basic Script (VBS) como parte do processo de infecção.

Desafios de Atribuição

A atribuição desses ataques é desafiadora devido à natureza do MaaS, que permite a terceirização de vários componentes de ataque e infraestrutura. Isso torna difícil identificar atores de ameaças específicos, já que vários grupos podem utilizar as mesmas ferramentas e infraestrutura fornecidas por serviços como os da Golden Chickens.

Entretanto, suspeita-se que o ataque pode ter sido realizado pelo FIN6, de acordo com as táticas, técnicas e procedimentos (TTPs) empregados, conforme mencionado pela Trend Micro.

Considerações Finais

Recentemente, a HarfangLab destacou o PackXOR, um empacotador privado utilizado pelo grupo de crimes cibernéticos FIN7 para criptografar e ofuscar a ferramenta AvNeutralizer. O uso deste empacotador em “cargas úteis não relacionadas”, como o minerador de criptomoedas XMRig e o rootkit r77, levanta a possibilidade de que também possa ser empregado por outros atores de ameaça.

“Os desenvolvedores do PackXOR podem estar de fato conectados ao cluster FIN7, mas o empacotador parece ser utilizado para atividades que não se relacionam com o FIN7,” afirmou a HarfangLab.

#SpearPhishing #Cibersegurança #Malware #Recrutamento #ThreatIntelligence
The Hacker News
https://thehackernews.com/2024/10/fake-job-applications-deliver-dangerous.html