Table of Contents
Grupo de Ameaça em Atividade Prolongada Visando Organizações Financeiras
A longo prazo, um grupo de ameaças conhecido por direcionar seus ataques a organizações financeiras multinacionais tem adotado uma nova tática: a *imitação de candidatos a emprego* para atingir recrutadores de talentos. O método utilizado é uma campanha de *spear-phishing* que dissemina o backdoor “more_eggs”, o qual é capaz de executar *payloads* de malware secundários.
Pesquisadores da Trend Micro descobriram a campanha que distribui o backdoor JScript, parte de um pacote de malware como serviço (MaaS) chamado Golden Chickens. Acredita-se que a campanha seja obra do FIN6, um grupo conhecido por utilizar este backdoor em seus ataques. Entretanto, a Trend Micro ressaltou que a natureza do malware, sendo um componente de um pacote MaaS, “dilui as linhas entre diferentes atores de ameaças”, tornando a atribuição precisa uma tarefa difícil.
Mudança de Táticas do FIN6
O FIN6, que já se fez passar por oficiais de recrutamento para atacar candidatos, parece estar mudando de estratégia, agora se *mascarando como candidatos a emprego*. Os pesquisadores da Trend Micro observaram em um post sobre os ataques que a campanha começou quando um funcionário de uma empresa do setor de engenharia baixou um currículo falso de um suposto candidato à posição de engenheiro de vendas. O arquivo baixado executava um arquivo malicioso .lnk, resultando em uma infecção more_eggs.
“Um email de *spear-phishing* foi enviado inicialmente, supostamente de ‘John Cboins’, utilizando uma conta do Gmail para um executivo sênior da empresa”, relataram os pesquisadores. Esse email não continha anexos ou URLs, mas era um golpe de engenharia social, demonstrando “que o ator da ameaça estava tentando ganhar a confiança do usuário”, afirmaram.
Após essa comunicação, um oficial de recrutamento baixou o que deveria ser um currículo, *John Cboins.zip*, de uma URL através do Google Chrome, embora “não tenha sido determinado de onde o usuário obteve essa URL”. A investigação desse link revelou um site típico de um candidato, que até utilizava um teste CAPTCHA para não levantar suspeitas, o que poderia facilmente enganar um recrutador ingênuo.
Mesmos *Payloads*, Diferentes Métodos de Inserção
Diversos pesquisadores de segurança observaram o uso do *more_eggs* em ataques desde 2017 contra uma variedade de alvos, incluindo instituições financeiras russas e empresas de mineração, além de outras organizações multinacionais. O *more_eggs* faz parte do toolkit Golden Chickens, que é distribuído pelo *Venom Spider*, um fornecedor underground de MaaS, também conhecido como badbullzvenom.
Embora o backdoor seja um denominador comum entre diferentes campanhas de ameaças do Venom Spider, os métodos utilizados para a *distribuição do malware* variam. Alguns ataques envolveram esquemas de *phishing* com documentos maliciosos que continham JavaScript e scripts PowerShell, enquanto outros utilizaram LinkedIn e emails para atrair funcionários com ofertas de emprego falsas, levando-os a domínios maliciosos que hospedavam arquivos .zip prejudiciais.
- Emails de *phishing* distribuindo arquivos .zip disfarçados como imagens.
- Campanhas que exploraram o LinkedIn para enganar recrutadores, direcionando-os a sites de currículos falsos que distribuíam o malware como arquivos .lnk maliciosos.
Atualmente, há duas campanhas ativas que divulgam o malware visando vítimas em funções que os atacantes poderiam explorar para identificar ativos valiosos e obter maior potencial de ganho financeiro.
Prevenindo a Ativação de “More_Eggs”
Soluções tradicionais de anti-malware devem detectar e eliminar imediatamente uma infecção por *more_eggs* em uma rede corporativa. No entanto, fatores como as necessidades operacionais de uma organização, a falibilidade humana e possíveis configurações incorretas podem representar riscos de que o malware consiga passar despercebido, segundo a Trend Micro.
“As técnicas avançadas de engenharia social empregadas — como o uso de um site convincente e de um arquivo malicioso disfarçado de currículo para iniciar a infecção — ressaltam a necessidade crítica de as organizações manterem vigilância contínua”, alertaram os pesquisadores. “É imperativo que os defensores implementem medidas robustas de detecção de ameaças e promovam uma cultura de conscientização em cibersegurança para combater eficazmente essas ameaças em evolução.”
A Trend Micro compartilhou diversos indicadores de comprometimento (IoCs) relacionados às campanhas. Organizações com sistemas de detecção e resposta gerenciados (MDR) podem usá-los para configurar filtros e modelos personalizados que detectem uma ameaça específica como *more_eggs*, que então podem ser integrados em um manual de segurança para automatizar a resposta a um alerta.
#cibersegurança #phishing #malware #FIN6 #engenhariadesegurança
2024-10-01T17:21:17.000Z
Elizabeth Montalbano, Contributing Writer
ref:https://www.darkreading.com/cyberattacks-data-breaches/attackers-targeting-recruiters-more_eggs-backdoor