Un grupo de amenazas activo desde hace mucho tiempo conocido por atacar a organizaciones financieras multinacionales se ha hecho pasar por solicitantes de empleo para atacar a los reclutadores de talentos. El método es una campaña de phishing que difunde la puerta trasera “more_eggs”, capaz de ejecutar cargas útiles de malware secundarias.
Los investigadores de Trend Micro descubrieron una campaña que distribuye la puerta trasera JScript, parte de un conjunto de herramientas de malware como servicio (MaaS) llamado Golden Chickens, revelaron en análisis publicado esta semana publicado esta semana. Creen que la campaña probablemente sea obra de FIN6, conocido por utilizar la puerta trasera para atacar a sus víctimas. Sin embargo, Trend Micro destacó que la naturaleza del malware que forma parte de un paquete MaaS «desdibuja las líneas entre los diferentes actores de amenazas» y, por lo tanto, dificulta la atribución precisa.
FIN6 ha sido conocido en el pasado por hacerse pasar por agentes de reclutamiento para dirigirse a los solicitantes de empleo, pero parece estar «pasando de parecer reclutadores falsos a candidatos falsos» en un cambio de táctica, escribieron los investigadores de Trend Micro en un blog. Publicar sobre los ataques.
Trend Micro identificó la campaña cuando un empleado que trabajaba como gerente de búsqueda de talentos en un cliente de ingeniería subió un currículum falso de un supuesto candidato a ingeniero de ventas. El archivo descargado ejecutó un archivo .lnk malicioso que resultó en un infección more_eggs.
«John Cboins» envió inicialmente un correo electrónico de phishing utilizando una dirección de Gmail a un alto ejecutivo de la empresa», escribieron los investigadores. Este correo electrónico no contenía archivos adjuntos ni URL, sino que era una estrategia de ingeniería social que demostraba «que el actor malicioso estaba intentando ganarse la confianza del usuario», escribieron.
Poco después de esta comunicación, un gerente de contratación descargó lo que pretendía ser un currículum, John Cboins.zip, de una URL usando Google Chrome, aunque «no se ha determinado dónde accedió este usuario y obtuvo la URL», señalaron los investigadores.
Una investigación más profunda de la URL reveló lo que parecía ser el sitio web típico de un candidato a un puesto de trabajo que incluso utiliza una prueba CAPTCHA y probablemente no despertaría sospechas, por lo que es capaz de engañar fácilmente a un reclutador desprevenido haciéndole creer que se estaba comunicando con un candidato legítimo. ellos han dicho.
Misma carga útil, diferentes métodos de anidamiento
Varios investigadores de seguridad observaron que se utilizaban más huevos en ataques ya en 2017 contra diversos objetivos, incluidas instituciones financieras y empresas mineras rusas, así como otras organizaciones multinacionales. Como se mencionó, more_eggs es parte del conjunto de herramientas Golden Chickens, distribuido por Venom Spider, un proveedor clandestino de MaaS también conocido como badbullzvenomsegún Trend Micro.
Aunque la puerta trasera ha sido históricamente un denominador común entre las distintas campañas de amenazas llevadas a cabo por Venom Spider, los métodos utilizados para distribuir malware variar. Algunos ataques involucraron esquemas de phishing con documentos maliciosos que contenían JavaScript y scripts de PowerShell, mientras que otros utilizaron LinkedIn y el correo electrónico para atraer a los empleados con ofertas de trabajo falsas, llevándolos a dominios maliciosos que alojan archivos .zip de malware, señalaron los investigadores.
Los atacantes también utilizaron correos electrónicos de phishing para distribuir archivos .zip disfrazados de imágenes para iniciar una infección more_eggs, mientras que una campaña de junio explotó aún más LinkedIn para engañar a los reclutadores para que accedan a un sitio de currículums falso que distribuía el malware en forma de un archivo .lnk malicioso.
Parece que actualmente hay dos campañas activas que difunden el malware y que se dirigen a víctimas que «ocupan roles que los atacantes podrían explotar para identificar activos valiosos y tener un potencial de obtener mayores ganancias financieras», escribieron los investigadores.
Evitar que “More_Eggs” eclosionen
Las soluciones antimalware tradicionales deberían detectar y eliminar inmediatamente una infección more_eggs en una red corporativa. Sin embargo, según Trend Micro, factores como las necesidades operativas de una organización, la falibilidad humana y posibles errores de configuración pueden suponer un riesgo de que el malware eluda estas detecciones.
«Las técnicas avanzadas de ingeniería social empleadas, como el uso de un sitio web convincente y un archivo malicioso disfrazado de CV para desencadenar la infección, resaltan la necesidad crítica de que las organizaciones mantengan una vigilancia continua», escribieron los investigadores. “Es imperativo que los defensores implementen medidas sólidas de detección de amenazas y fomenten una cultura de concienciación sobre la ciberseguridad para combatir eficazmente estas amenazas en evolución. »
Trend Micro compartió varios indicadores de compromiso (IoC) relacionados con la campaña en la publicación. Las organizaciones con sistemas administrados de detección y respuesta (MDR) pueden usarlos para configurar filtros personalizados y plantillas diseñadas para detectar una amenaza específica como more_eggs, que luego pueden incorporarse a un manual de seguridad para automatizar la respuesta a una alerta, según el mensaje. .