Grupo envia e-mail diretamente para recrutadores para liberar malware
13 de Dezembro de 2023

O TA4557, um grupo de hackers monitorado desde 2018 por enviar ameaças de email temáticas de trabalho, está usando uma nova técnica de segmentação que envolve o envio de emails diretamente para recrutadores que, em última análise, descartam malwares, de acordo com o Proofpoint.

O operador de ameaças, conhecido por usar o More_eggs como descarregador de malware, anteriormente recorria apenas a vagas anunciadas em quadros de empregos públicos ou postagens no LinkedIn para inserir URLs maliciosos no aplicativo.

Entretanto, desde outubro, o TA4557 vem sendo observado enviando e-mails diretamente aos empregadores, procurando candidatos para várias funções.

“Em campanhas observadas recentemente, o TA4557 utilizou tanto o novo método de enviar e-mails diretamente aos recrutadores quanto a técnica antiga de se candidatar a empregos anunciados em quadros de empregos públicos para iniciar a cadeia de ataque”, disse Proofpoint em um post em seu blog corporativo.

Dentro da nova técnica, o invasor primeiro envia um e-mail ao recrutador perguntando sobre a vaga de emprego.

Depois que este responde à mensagem, o operador do TA4557 retorna com uma URL vinculada a um site controlado por ele, onde está o currículo falso do candidato.

“Alternativamente, o operador da ameaça foi observado respondendo com um PDF ou anexo do Word contendo instruções para visitar o site de currículos falsos”, acrescentou Proofpoint na postagem.

No início de novembro, a empresa de segurança cibernética observou que o TA4557, no e-mail inicial, instruiu o destinatário a “consultar o nome de domínio do endereço de e-mail para acessar meu portfólio”, em vez de enviar diretamente a URL do site com o currículo na resposta, de acordo com a postagem no blog.

Essa foi provavelmente outra tentativa de evitar a detecção automática de domínios suspeitos, de acordo com a Proofpoint.

A vítima em potencial, ao visitar o “site pessoal”, conforme orientado pelo operador da ameaça, é apresentada a uma página com um currículo falso, que filtra o usuário após a visita e decide se deve enviá-lo para a próxima etapa do ataque.

Os usuários que passam nas verificações de filtragem são então enviados para o “site do candidato” que, após a conclusão, inicia o download de um arquivo zip contendo um arquivo de atalho LNK.

O LNK explora funções legítimas no “ie4uinit.exe”, um programa utilitário da Microsoft, para baixar e executar um scriplet de um local em outro arquivo “ie4uinit.inf” no zip.

“Essa técnica de ataque é chamada de living off the land (LotL, ou viver da terra, em tradução livre)”, disse Proofpoint.

“O scriptlet descriptografa e descarta uma DLL na pasta %APPDATA%\Microsoft.

A DLL utiliza técnicas anti-sandbox e anti-análise para evasão e descarta a backdoor More_Eggs.”

O More_eggs é uma backdoor Javascript usada para estabelecer persistência, criar o perfil da máquina e descartar payloads.

O TA4557 é monitorado desde 2018 como um operador de ameaças qualificado, cujo objetivo é obter ganhos financeiros usando a backdoor, que é capaz de criar o perfil do terminal e enviar payloads.

O Proofpoint observou em um post no blog que notou um aumento de operadores de ameaças usando mensagens benignas para criar confiança e se envolver com um alvo antes de enviar o conteúdo malicioso, e o TA4557 adotando essa técnica deve fazer com que as organizações que usam anúncios de trabalho de terceiros fiquem atentas às tácticas, técnicas e procedimentos (TTPs) desse operador de ameaças.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...