Achtung: Neue Phishing-Angriffe richten sich an LinkedIn-Benutzer

Die Weltwirtschaft wurde durch die Covid-19-Pandemie ernsthaft verärgert, und die Nachbeben sind immer noch in vielen Branchen und Sektoren zu spüren. Viele Menschen haben unter den sich wandelnden Bedingungen ihren Arbeitsplatz verloren, und logischerweise sind viele von ihnen auf LinkedIn gegangen, um nach neuen Möglichkeiten zu suchen.

Auch böswillige Akteure sind immer auf der Suche nach neuen Möglichkeiten, und sie sahen diesen Zustrom von LinkedIn-Hits als eine solche Möglichkeit. Sicherheitsforscher, die mit dem Cybersicherheitsunternehmen eSentire für Erkennung und Reaktion zusammenarbeiten, berichteten kürzlich über eine neue Phishing-Kampagne, die sich an LinkedIn-Benutzer mit hinterhältiger und gefährlicher Malware richtete.

Fileless Malware ist eine erhebliche Bedrohung

Laut eSentire-Experten heißt die Bedrohungsgruppe hinter der neuen Kampagne Golden Chickens. Die Malware, die sie in dieser neuen Phishing-Kampagne verwenden, die über LinkedIn-Nachrichten bereitgestellt wird, heißt passenderweise "more_eggs".

More_eggs ist eine fileless Malware, die legitime Windows-Prozesse missbraucht und ihnen Funktionen und spezifische Anweisungen zuführt, die in Skripten gespeichert sind. Dies macht es besonders schwierig zu erkennen.

Ein weiteres bemerkenswertes Merkmal dieser Kampagne ist, dass sie nicht mit den meisten umfassenden Phishing-Versuchen vergleichbar ist, bei denen Millionen von E-Mails an potenziell Millionen aktiver Benutzer gesendet werden. Der hier verwendete Ansatz ist viel gezielter und kann als Spear Phishing bezeichnet werden - ein Angriff, bei dem visuell glaubwürdige Namen und Ansätze verwendet werden, die das Opfer viel eher anlocken und es dazu bringen, auf die schädliche Datei zu klicken.

Die an die Posteingänge der LinkedIn-Benutzer gesendeten Nachrichten waren sehr spezifisch und enthielten den tatsächlichen Job, den sie zuletzt besetzt hatten, sowie das Wort "Position" auf der Rückseite, was ein echtes Jobangebot für dieselbe Position impliziert. Dies allein ist ein sehr glaubwürdiger Köder, und es scheint, dass dieser gezielte Ansatz funktioniert.

Die von more_eggs verwendete schädliche Datei ist eine Zip-Datei, die nach dem Öffnen die Malware leise bereitstellt. Nach der Infektion steht das System den Thread-Akteuren, die hinter der Malware stehen, offen und zusätzliche schädliche Nutzdaten können heruntergeladen und fern bereitgestellt werden.

"Malware-as-a-Service" kehrt zurück

Diese kürzlich durchgeführte more_eggs-Kampagne wird auch nicht von der Golden Chickens-Gruppe selbst durchgeführt. eSentire informiert, dass der Bedrohungsakteur die Malware eher an böse Dritt-Akteure verkauft oder lizenziert und als Dienst betreibt. Dieses Konzept ist nicht revolutionär oder neu, aber die Tatsache, dass große Bedrohungsakteure wie die Colabt Group more_eggs verwenden, zeigt, dass es für Hacker gut funktioniert.

Die mit eSentire zusammenarbeitenden Experten haben eine Reihe von Bedrohungsindikatoren für more_eggs ausgewählt. Dazu gehören das C&C-Beacon, der Hash der Zip-Datei und der von more_eggs verwendete Download-Server:

• C & C-Beacon: d27qdop2sa027t.cloudfront [.] Net
• Zip-Datei-Hash: 776c355a89d32157857113a49e516e74
• Server: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] Com