Un grupo de amenazas llamado Golden Chickens está enviando backdoor trojan sin archivos llamado more_eggs a través de una campaña de spear-phishing dirigida a profesionales en LinkedIn con ofertas de trabajo falsas, según un grupo de investigadores.

Los correos electrónicos de suplantación de identidad intentan engañar a la víctima para que haga clic en un archivo .ZIP malicioso seleccionando el puesto de trabajo actual de la víctima y agregando la palabra “puesto” al final, haciendo que parezca una oferta legítima.

“Por ejemplo, si el trabajo del miembro de LinkedIn aparece como ‘Senior Account Executive—International Freight, el archivo .ZIP malicioso se llamaría Senior Account Executive—International Freight position’. Al abrir la oferta de trabajo falsa, la víctima, sin saberlo, inicia la instalación sigilosa del troyano more_eggs.

Una vez descargado, more_eggs puede buscar malware adicional y proporcionar acceso al sistema de la víctima, según el informe. El grupo Golden Chickens también está vendiendo more_eggs como servicio de malware a otros ciberdelincuentes, que lo utilizan para hacerse un hueco en los sistemas de las víctimas e instalar otros tipos de malware, incluido el malware bancario, credential stealers y  ransomware, o simplemente para exfiltrarse.

More_Eggs Malware: una ‘amenaza formidable’

Existen tres aspectos específicos del troyano more_eggs que lo convierten en lo que se describe como una “amenaza formidable para los negocios y los profesionales de negocios.

Primero, abusa de los procesos normales de Windows para evitar las protecciones antivirus. En segundo lugar, los correos electrónicos personalizados de spear phishing son efectivos para atraer a las víctimas a hacer clic en la oferta de trabajo falsa. Lo que quizás sea más pernicioso es que el malware explota a los buscadores de empleo desesperados por encontrar empleo en medio de una pandemia global y las tasas de desempleo que se disparan.

Los investigadores han observado que los grupos FIN6, Cobalt Group y Evilnum han utilizado el malware more_eggs como un servicio para sus propios fines.

More_Eggs Malware-As-A-Service

La banda de amenazas financieras FIN6 utilizó el malware more_eggs para atacar a varias empresas de comercio electrónico en 2019. Al mismo tiempo, los atacantes utilizaron more_eggs para violar los sistemas de pagos en línea de las empresas minoristas, de entretenimiento y farmacéuticas.

Otros grupos también han utilizado el malware. A Evilnum le gusta atacar a las empresas de tecnología financiera, para robar hojas de cálculo, listas de clientes y credenciales comerciales, mientras que Cobalt Group suele centrarse en atacar a las empresas financieras con la puerta trasera more_eggs.

En lugar de atacar a alguien que está desempleado, los expertos coinciden en que es probable que el objetivo de la campaña sea atacar a las personas que están empleadas y tienen acceso a datos confidenciales.

Fuente: Threatpost.com