Исследователи кибербезопасности обнаружили фишинговую атаку, распространяющую вредоносное ПО More_eggs, маскирующееся под резюме, метод, первоначально обнаруженный более двух лет назад.
Безуспешная атака была нацелена на неназванную компанию в сфере промышленных услуг в мае 2024 года, раскрыла на прошлой неделе канадская фирма eSentire по кибербезопасности eSentire.
"В частности, объектом атаки был рекрутер, которого субъект угрозы обманул, заставив думать, что он соискатель работы, и заманил их на свой веб-сайт для загрузки загрузчика", - говорится в сообщении.
More_eggs, предположительно созданная злоумышленником, известным как Golden Chickens (он же Venom Spider), представляет собой модульный бэкдор, способный собирать конфиденциальную информацию. Оно предлагается другим участникам преступной деятельности по модели "Вредоносное по как услуга" (MaaS).
В прошлом году eSentire раскрыла реальные личности двух человек - Чака из Монреаля и Джека, – которые, как утверждается, руководят операцией.
Последняя цепочка атак включает злоумышленников, отвечающих на объявления о вакансиях в LinkedIn ссылкой на поддельный сайт загрузки резюме, что приводит к загрузке вредоносного файла быстрого доступа Windows (LNK).
Стоит отметить, что предыдущая активность More_eggs была направлена против профессионалов в LinkedIn с помощью подложных предложений работы, чтобы обманом заставить их загрузить вредоносное ПО.
"Переход по тому же URL-адресу несколько дней спустя приводит к появлению резюме человека в обычном HTML-формате без указания перенаправления или загрузки", - отметил eSentire.
Затем файл LNK используется для извлечения вредоносной библиотеки DLL с использованием законной программы Microsoft под названием ie4uinit.exe, после чего библиотека запускается с помощью regsvr32.exe для обеспечения сохраняемости, сбора данных о зараженном хосте и сброса дополнительных полезных нагрузок, включая бэкдор More_eggs на основе JavaScript.
"Кампании More_eggs по-прежнему активны, и их операторы продолжают использовать тактику социальной инженерии, такую как выдача себя за соискателей работы, которые хотят претендовать на определенную роль, и заманивание жертв (в частности, рекрутеров) для загрузки их вредоносного ПО", - сказал эСентайр.
"Кроме того, кампании, подобные more_eggs, в которых используется предложение MaaS, кажутся разреженными и избирательными по сравнению с типичными сетями распространения вредоносного по".
Разработка происходит после того, как компания по кибербезопасности также раскрыла подробности кампании по загрузке с помощью drive-by, в которой используются поддельные веб-сайты для инструмента KMSpico Windows activator для распространения Vidar Stealer.
"Сайт kmspico [.] ws размещен за турникетом Cloudflare и требует участия человека (ввода кода) для загрузки окончательного ZIP-пакета", - отметил eSentire. "Эти действия необычны для страницы загрузки законного приложения и выполняются для того, чтобы скрыть страницу и конечную полезную нагрузку от автоматизированных веб-поисковиков".
Аналогичные кампании социальной инженерии также создали сайты-двойники, выдающие себя за законное программное обеспечение, такое как Advanced IP Scanner, для развертывания Cobalt Strike, сообщили в Trustwave SpiderLabs на прошлой неделе.
Это также следует за появлением нового фишингового набора под названием V3B, который был использован для выявления банковских клиентов в Европейском Союзе с целью кражи учетных данных и одноразовых паролей (OTP).
Говорят, что набор, предлагаемый за 130-450 долларов в месяц по модели "Фишинг как услуга" (PhaaS) через темную Сеть и специальный Telegram-канал, активен с марта 2023 года. Она предназначена для поддержки более 54 банков, расположенных в Австрии, Бельгии, Финляндии, Франции, Германии, Греции, Ирландии, Италии, Люксембурге и Нидерландах.
Наиболее важным аспектом V3B является то, что он содержит индивидуальные и локализованные шаблоны для имитации различных процессов аутентификации и верификации, распространенных в системах онлайн-банкинга и электронной коммерции в регионе.
Она также обладает расширенными возможностями для взаимодействия с жертвами в режиме реального времени и получения их кодов OTP и photoTAN, а также для взлома QR-кода при входе в систему (он же QRLJacking) на такие сервисы, как WhatsApp, которые позволяют входить в систему с помощью QR-кодов.
"С тех пор они создали клиентскую базу, ориентированную на европейские финансовые учреждения", - сказали в Resecurity. "В настоящее время, по оценкам, сотни киберпреступников используют этот набор для совершения мошенничества, оставляя жертв с пустыми банковскими счетами".
Безуспешная атака была нацелена на неназванную компанию в сфере промышленных услуг в мае 2024 года, раскрыла на прошлой неделе канадская фирма eSentire по кибербезопасности eSentire.
"В частности, объектом атаки был рекрутер, которого субъект угрозы обманул, заставив думать, что он соискатель работы, и заманил их на свой веб-сайт для загрузки загрузчика", - говорится в сообщении.
More_eggs, предположительно созданная злоумышленником, известным как Golden Chickens (он же Venom Spider), представляет собой модульный бэкдор, способный собирать конфиденциальную информацию. Оно предлагается другим участникам преступной деятельности по модели "Вредоносное по как услуга" (MaaS).
В прошлом году eSentire раскрыла реальные личности двух человек - Чака из Монреаля и Джека, – которые, как утверждается, руководят операцией.
Последняя цепочка атак включает злоумышленников, отвечающих на объявления о вакансиях в LinkedIn ссылкой на поддельный сайт загрузки резюме, что приводит к загрузке вредоносного файла быстрого доступа Windows (LNK).
Стоит отметить, что предыдущая активность More_eggs была направлена против профессионалов в LinkedIn с помощью подложных предложений работы, чтобы обманом заставить их загрузить вредоносное ПО.
"Переход по тому же URL-адресу несколько дней спустя приводит к появлению резюме человека в обычном HTML-формате без указания перенаправления или загрузки", - отметил eSentire.
Затем файл LNK используется для извлечения вредоносной библиотеки DLL с использованием законной программы Microsoft под названием ie4uinit.exe, после чего библиотека запускается с помощью regsvr32.exe для обеспечения сохраняемости, сбора данных о зараженном хосте и сброса дополнительных полезных нагрузок, включая бэкдор More_eggs на основе JavaScript.
"Кампании More_eggs по-прежнему активны, и их операторы продолжают использовать тактику социальной инженерии, такую как выдача себя за соискателей работы, которые хотят претендовать на определенную роль, и заманивание жертв (в частности, рекрутеров) для загрузки их вредоносного ПО", - сказал эСентайр.
"Кроме того, кампании, подобные more_eggs, в которых используется предложение MaaS, кажутся разреженными и избирательными по сравнению с типичными сетями распространения вредоносного по".
Разработка происходит после того, как компания по кибербезопасности также раскрыла подробности кампании по загрузке с помощью drive-by, в которой используются поддельные веб-сайты для инструмента KMSpico Windows activator для распространения Vidar Stealer.
"Сайт kmspico [.] ws размещен за турникетом Cloudflare и требует участия человека (ввода кода) для загрузки окончательного ZIP-пакета", - отметил eSentire. "Эти действия необычны для страницы загрузки законного приложения и выполняются для того, чтобы скрыть страницу и конечную полезную нагрузку от автоматизированных веб-поисковиков".
Аналогичные кампании социальной инженерии также создали сайты-двойники, выдающие себя за законное программное обеспечение, такое как Advanced IP Scanner, для развертывания Cobalt Strike, сообщили в Trustwave SpiderLabs на прошлой неделе.
Это также следует за появлением нового фишингового набора под названием V3B, который был использован для выявления банковских клиентов в Европейском Союзе с целью кражи учетных данных и одноразовых паролей (OTP).
Говорят, что набор, предлагаемый за 130-450 долларов в месяц по модели "Фишинг как услуга" (PhaaS) через темную Сеть и специальный Telegram-канал, активен с марта 2023 года. Она предназначена для поддержки более 54 банков, расположенных в Австрии, Бельгии, Финляндии, Франции, Германии, Греции, Ирландии, Италии, Люксембурге и Нидерландах.
Наиболее важным аспектом V3B является то, что он содержит индивидуальные и локализованные шаблоны для имитации различных процессов аутентификации и верификации, распространенных в системах онлайн-банкинга и электронной коммерции в регионе.
Она также обладает расширенными возможностями для взаимодействия с жертвами в режиме реального времени и получения их кодов OTP и photoTAN, а также для взлома QR-кода при входе в систему (он же QRLJacking) на такие сервисы, как WhatsApp, которые позволяют входить в систему с помощью QR-кодов.
"С тех пор они создали клиентскую базу, ориентированную на европейские финансовые учреждения", - сказали в Resecurity. "В настоящее время, по оценкам, сотни киберпреступников используют этот набор для совершения мошенничества, оставляя жертв с пустыми банковскими счетами".
