Di recente è stato scoperto che Golden Chickens, un gruppo di criminali informatici, utilizza attacchi di spear-phishing rivolti a professionisti aziendali su LinkedIn, con offerte di lavoro false. Nel loro attacco, i truffatori inviano un malware fileless chiamato more_eggs in grado di creare una backdoor. La campagna è stata scoperta dai ricercatori di eSentire, che hanno messo in guardia le aziende e i singoli individui.
Che cosa è successo?
Secondo il team di ricerca di eSentire, i criminali informatici inviano e-mail di spear-phishing con un file zip dannoso che utilizza il nome della vittima per una posizione di lavoro elencata sul profilo LinkedIn.
• Dopo aver aperto l'offerta di lavoro falsa, senza saperlo la vittima avvia l'installazione della backdoor more_eggs, che apre la porta all’arrivo di ulteriori malware e fornisce l'accesso al sistema.
• La backdoor è in grado di evadere gli antivirus.
• Inoltre, sfrutta la disperazione di coloro che cercano posti di lavoro nel bel mezzo di una pandemia globale.
• Il gruppo Golden Chickens offre more_eggs come malware-as-a-service ad altri criminali informatici. Questi criminali la utilizzano per accedere ai sistemi, al fine di diffondere altri malware.
La connessione more_eggs
Nel 2019 FIN6 utilizzava la backdoor more_eggs per colpire diversi e-commerce. Contemporaneamente attaccava sistemi di pagamento online delle società di vendita al dettaglio, farmaceutiche e di intrattenimento.
• Evilnum attacca le società di tecnologia finanziaria per rubare fogli di calcolo e credenziali di trading utilizzando la backdoor more_eggs.
• Un altro gruppo, soprannominato Cobalt Group, è noto per utilizzare la backdoor more_eggs per attaccare le società finanziarie.
Conclusione
L'obiettivo delle recenti campagne è probabilmente quello di attaccare gli impiegati che occupano posizioni importanti e che hanno accesso ai dati sensibili. È quindi importante che tutti gli utenti di LinkedIn stiano attenti agli attacchi di spear-phishing. Inoltre, gli esperti raccomandano di abilitare l’autenticazione a più fattori per gli account con diritti di accesso.