Malware mira recrutadores
11 de Junho de 2024

Pesquisadores de cibersegurança identificaram um ataque de phishing que distribui o malware More_eggs, disfarçando-o como um currículo — uma técnica identificada há mais de dois anos.

O ataque, que foi mal-sucedido, visava uma empresa não nomeada do setor de serviços industriais em maio de 2024, revelou a firma canadense de cibersegurança eSentire na semana passada.

"Em particular, o indivíduo visado era um recrutador que foi enganado pelo ator de ameaça, pensando que era um candidato a emprego, e foi atraído para o seu site para baixar o loader", disse a empresa.
O More_eggs, acredita-se ser obra de um ator de ameaça conhecido como Golden Chickens (também conhecido como Venom Spider), é um backdoor modular capaz de coletar informações sensíveis.

Ele é oferecido a outros criminosos sob um modelo de Malware-as-a-Service (MaaS).
No ano passado, a eSentire desmascarou as identidades reais de dois indivíduos — Chuck, de Montreal, e Jack — que supostamente estão por trás da operação.

A cadeia de ataque mais recente envolve os atores maliciosos respondendo a postagens de empregos no LinkedIn com um link para um site falso de download de currículo, resultando no download de um arquivo malicioso de Atalho do Windows (LNK).

É importante notar que atividades anteriores do More_eggs visavam profissionais no LinkedIn com ofertas de emprego armadas para enganá-los a baixar o malware.

"Acessar a mesma URL dias depois resulta no currículo do indivíduo em HTML simples, sem indicação de redirecionamento ou download", observou a eSentire.

O arquivo LNK é então usado para recuperar um DLL malicioso aproveitando um programa legítimo da Microsoft chamado ie4uinit.exe, após o que a biblioteca é executada usando regsvr32.exe para estabelecer persistência, coletar dados sobre o host infectado e inserir payloads adicionais, incluindo o backdoor More_eggs baseado em JavaScript.

"As campanhas do More_eggs continuam ativas e seus operadores continuam a usar táticas de engenharia social, como se passar por candidatos a emprego que procuram se candidatar a um papel específico, e atraindo vítimas (especificamente recrutadores) para baixar seu malware", disse a eSentire.

Além disso, campanhas como a do more_eggs, que usam a oferta de MaaS, parecem ser esparsas e seletivas em comparação com as redes típicas de distribuição de malspam.

O desenvolvimento surge à medida que a firma de cibersegurança também revelou detalhes de uma campanha de download drive-by que utiliza sites falsos para a ferramenta de ativação Windows KMSPico para distribuir o Vidar Stealer.

"O site kmspico[.]ws é hospedado atrás do Cloudflare Turnstile e requer entrada humana (inserção de um código) para baixar o pacote ZIP final", observou a eSentire.

"Esses passos são incomuns para uma página de download de aplicativo legítimo e são feitos para esconder a página e o payload final de web crawlers automatizados."

Campanhas semelhantes de engenharia social também configuraram sites falsos que imitam softwares legítimos como o Advanced IP Scanner para implementar o Cobalt Strike, disse a Trustwave SpiderLabs na semana passada.

Isso também segue a emergência de um novo kit de phishing chamado V3B que tem sido utilizado para mirar em clientes de bancos na União Europeia com o objetivo de roubar credenciais e senhas únicas (OTPs).

O kit, oferecido por $130-$450 por mês por meio de um modelo de Phishing-as-a-Service (PhaaS) na dark web e um canal dedicado do Telegram, está dito estar ativo desde março de 2023.

Ele é projetado para suportar mais de 54 bancos localizados na Áustria, Bélgica, Finlândia, França, Alemanha, Grécia, Irlanda, Itália, Luxemburgo e Países Baixos.

O aspecto mais importante do V3B é que ele apresenta modelos customizados e localizados para imitar vários processos de autenticação e verificação comuns aos sistemas bancários online e de comércio eletrônico na região.

Ele também vem com capacidades avançadas para interagir com as vítimas em tempo real e obter
seus códigos OTP e PhotoTAN, bem como executar um ataque de login QR code jacking (também conhecido como QRLJacking) em serviços como o WhatsApp que permitem login via códigos QR.

"Eles desde então construíram uma base de clientes focada em visar instituições financeiras europeias", disse a Resecurity.

Atualmente, estima-se que centenas de cibercriminosos estejam usando este kit para cometer fraudes, deixando vítimas com contas bancárias vazias.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...