Pesquisadores de cibersegurança identificaram um ataque de phishing que distribui o malware More_eggs, disfarçando-o como um currículo — uma técnica identificada há mais de dois anos.
O ataque, que foi mal-sucedido, visava uma empresa não nomeada do setor de serviços industriais em maio de 2024, revelou a firma canadense de cibersegurança eSentire na semana passada.
"Em particular, o indivíduo visado era um recrutador que foi enganado pelo ator de ameaça, pensando que era um candidato a emprego, e foi atraído para o seu site para baixar o loader", disse a empresa.
O More_eggs, acredita-se ser obra de um ator de ameaça conhecido como Golden Chickens (também conhecido como Venom Spider), é um backdoor modular capaz de coletar informações sensíveis.
Ele é oferecido a outros criminosos sob um modelo de Malware-as-a-Service (MaaS).
No ano passado, a eSentire desmascarou as identidades reais de dois indivíduos — Chuck, de Montreal, e Jack — que supostamente estão por trás da operação.
A cadeia de ataque mais recente envolve os atores maliciosos respondendo a postagens de empregos no LinkedIn com um link para um site falso de download de currículo, resultando no download de um arquivo malicioso de Atalho do Windows (LNK).
É importante notar que atividades anteriores do More_eggs visavam profissionais no LinkedIn com ofertas de emprego armadas para enganá-los a baixar o malware.
"Acessar a mesma URL dias depois resulta no currículo do indivíduo em HTML simples, sem indicação de redirecionamento ou download", observou a eSentire.
O arquivo LNK é então usado para recuperar um DLL malicioso aproveitando um programa legítimo da Microsoft chamado ie4uinit.exe, após o que a biblioteca é executada usando regsvr32.exe para estabelecer persistência, coletar dados sobre o host infectado e inserir payloads adicionais, incluindo o backdoor More_eggs baseado em JavaScript.
"As campanhas do More_eggs continuam ativas e seus operadores continuam a usar táticas de engenharia social, como se passar por candidatos a emprego que procuram se candidatar a um papel específico, e atraindo vítimas (especificamente recrutadores) para baixar seu malware", disse a eSentire.
Além disso, campanhas como a do more_eggs, que usam a oferta de MaaS, parecem ser esparsas e seletivas em comparação com as redes típicas de distribuição de malspam.
O desenvolvimento surge à medida que a firma de cibersegurança também revelou detalhes de uma campanha de download drive-by que utiliza sites falsos para a ferramenta de ativação Windows KMSPico para distribuir o Vidar Stealer.
"O site kmspico[.]ws é hospedado atrás do Cloudflare Turnstile e requer entrada humana (inserção de um código) para baixar o pacote ZIP final", observou a eSentire.
"Esses passos são incomuns para uma página de download de aplicativo legítimo e são feitos para esconder a página e o payload final de web crawlers automatizados."
Campanhas semelhantes de engenharia social também configuraram sites falsos que imitam softwares legítimos como o Advanced IP Scanner para implementar o Cobalt Strike, disse a Trustwave SpiderLabs na semana passada.
Isso também segue a emergência de um novo kit de phishing chamado V3B que tem sido utilizado para mirar em clientes de bancos na União Europeia com o objetivo de roubar credenciais e senhas únicas (OTPs).
O kit, oferecido por $130-$450 por mês por meio de um modelo de Phishing-as-a-Service (PhaaS) na dark web e um canal dedicado do Telegram, está dito estar ativo desde março de 2023.
Ele é projetado para suportar mais de 54 bancos localizados na Áustria, Bélgica, Finlândia, França, Alemanha, Grécia, Irlanda, Itália, Luxemburgo e Países Baixos.
O aspecto mais importante do V3B é que ele apresenta modelos customizados e localizados para imitar vários processos de autenticação e verificação comuns aos sistemas bancários online e de comércio eletrônico na região.
Ele também vem com capacidades avançadas para interagir com as vítimas em tempo real e obter
seus códigos OTP e PhotoTAN, bem como executar um ataque de login QR code jacking (também conhecido como QRLJacking) em serviços como o WhatsApp que permitem login via códigos QR.
"Eles desde então construíram uma base de clientes focada em visar instituições financeiras europeias", disse a Resecurity.
Atualmente, estima-se que centenas de cibercriminosos estejam usando este kit para cometer fraudes, deixando vítimas com contas bancárias vazias.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...