O TA4557, um grupo de hackers monitorado desde 2018 por enviar ameaças de email temáticas de trabalho, está usando uma nova técnica de segmentação que envolve o envio de emails diretamente para recrutadores que, em última análise, descartam malwares, de acordo com o Proofpoint.
O operador de ameaças, conhecido por usar o More_eggs como descarregador de malware, anteriormente recorria apenas a vagas anunciadas em quadros de empregos públicos ou postagens no LinkedIn para inserir URLs maliciosos no aplicativo.
Entretanto, desde outubro, o TA4557 vem sendo observado enviando e-mails diretamente aos empregadores, procurando candidatos para várias funções.
“Em campanhas observadas recentemente, o TA4557 utilizou tanto o novo método de enviar e-mails diretamente aos recrutadores quanto a técnica antiga de se candidatar a empregos anunciados em quadros de empregos públicos para iniciar a cadeia de ataque”, disse Proofpoint em um post em seu blog corporativo.
Dentro da nova técnica, o invasor primeiro envia um e-mail ao recrutador perguntando sobre a vaga de emprego.
Depois que este responde à mensagem, o operador do TA4557 retorna com uma URL vinculada a um site controlado por ele, onde está o currículo falso do candidato.
“Alternativamente, o operador da ameaça foi observado respondendo com um PDF ou anexo do Word contendo instruções para visitar o site de currículos falsos”, acrescentou Proofpoint na postagem.
No início de novembro, a empresa de segurança cibernética observou que o TA4557, no e-mail inicial, instruiu o destinatário a “consultar o nome de domínio do endereço de e-mail para acessar meu portfólio”, em vez de enviar diretamente a URL do site com o currículo na resposta, de acordo com a postagem no blog.
Essa foi provavelmente outra tentativa de evitar a detecção automática de domínios suspeitos, de acordo com a Proofpoint.
A vítima em potencial, ao visitar o “site pessoal”, conforme orientado pelo operador da ameaça, é apresentada a uma página com um currículo falso, que filtra o usuário após a visita e decide se deve enviá-lo para a próxima etapa do ataque.
Os usuários que passam nas verificações de filtragem são então enviados para o “site do candidato” que, após a conclusão, inicia o download de um arquivo zip contendo um arquivo de atalho LNK.
O LNK explora funções legítimas no “ie4uinit.exe”, um programa utilitário da Microsoft, para baixar e executar um scriplet de um local em outro arquivo “ie4uinit.inf” no zip.
“Essa técnica de ataque é chamada de living off the land (LotL, ou viver da terra, em tradução livre)”, disse Proofpoint.
“O scriptlet descriptografa e descarta uma DLL na pasta %APPDATA%\Microsoft.
A DLL utiliza técnicas anti-sandbox e anti-análise para evasão e descarta a backdoor More_Eggs.”
O More_eggs é uma backdoor Javascript usada para estabelecer persistência, criar o perfil da máquina e descartar payloads.
O TA4557 é monitorado desde 2018 como um operador de ameaças qualificado, cujo objetivo é obter ganhos financeiros usando a backdoor, que é capaz de criar o perfil do terminal e enviar payloads.
O Proofpoint observou em um post no blog que notou um aumento de operadores de ameaças usando mensagens benignas para criar confiança e se envolver com um alvo antes de enviar o conteúdo malicioso, e o TA4557 adotando essa técnica deve fazer com que as organizações que usam anúncios de trabalho de terceiros fiquem atentas às tácticas, técnicas e procedimentos (TTPs) desse operador de ameaças.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...