6 Марта, 2019

Для доставки бэкдора More_eggs использовались предложения о работе с сайта Linkedin

Владимир Безмалый

Исследователи в области безопасности обнаружили, что взломщик предлагает пользователям LinkedIn поддельные предложения о работе, чтобы доставить бэкдор More_eggs.

Со середины 2018 года Proofpoint наблюдала за различными кампаниями, распространяющими More_eggs, каждая из которых начиналась с того, что автор угрозы создавал мошеннический профиль LinkedIn. Злоумышленник использовал эти учетные записи для связи с целевыми сотрудниками в американских компаниях — в основном в розничной торговле, индустрии развлечений, фармацевтике и других отраслях, в которых обычно используются онлайн-платежи — с поддельным предложением о работе через обмен сообщениями в LinkedIn.

Через неделю после отправки этих сообщений злоумышленник связывался с целевыми сотрудниками напрямую, используя свою рабочую электронную почту, чтобы напомнить им об их переписке в LinkedIn. Этот субъект угроз включал профессиональные названия целей в строки темы и иногда просил получателей щелкнуть ссылку на описание работы. В других случаях сообщение содержало поддельный PDF со встроенными ссылками.

Все эти URL-адреса указывали на целевую страницу, которая подделывала законную компанию по управлению кадрами и кадрам. Там цель получила приглашение загрузить документ Microsoft Word, в котором загружен бэкдор More_eggs после включения макросов. Эта вредоносная программа, написанная на JScript, способна загружать дополнительные полезные данные и профилировать зараженные машины.

Серия злонамеренных действий на LinkedIn

Proofpoint обнаружил связь между этими операциями и кампанией, впервые раскрытой Krebs on Security, в которой фишеры нацеливались на сотрудников по борьбе с отмыванием денег в кредитных союзах США. В частности, охранная фирма обнаружила похожие вложения в формате PDF и URL-адреса, размещенные на одном домене.

Это не первый случай, когда злоумышленники используют LinkedIn для вредоносной деятельности. Еще в сентябре 2017 года сотрудники Лаборатории Malwarebytes обнаружили доказательства того, что злоумышленники взломали учетные записи людей в LinkedIn и использовали их для распространения фишинговых ссылок через личные сообщения. Менее чем через год Алекс Хартман из Network Solutions, Inc. раскрыл аналогичную кампанию, в которой субъекты угроз пытались распространять вредоносное ПО через LinkedIn, используя поддельные деловые предложения.

Кроме того, эксперты рекомендуют протестировать средства защиты от фишинга , обратившись в авторитетную службу тестирования на проникновение, которая использует ту же тактику, методы и процедуры (TTP), что и цифровые злоумышленники.