Home Sociedad Usuarios de LinkedIn, son el objetivo de una campaña de Spear-Phishing

Usuarios de LinkedIn, son el objetivo de una campaña de Spear-Phishing

Investigadores de seguridad están advirtiendo a los usuarios de LinkedIn que tengan cuidado con las ofertas de trabajo no solicitadas después de revelar una nueva campaña de spear-phishing diseñada para instalar un malware troyano en sus dispositivos.

La Unidad de Respuesta a Amenazas (TRU) de eSentire afirmó ayer que los individuos estaban siendo atacados con archivos personalizados con el mismo nombre que su propio rol actual.

“Al abrir la falsa oferta de trabajo, la víctima inicia, sin saberlo, la instalación sigilosa del backdoor sin archivos, more_eggs. Una vez cargado, el sofisticado backdoor puede descargar plugins maliciosos adicionales y proporcionar acceso directo al ordenador de la víctima”, continúa.

“El grupo de amenazas detrás de more_eggs, Golden Chickens, vende el backdoor bajo un acuerdo de malware como servicio (MaaS) a otros cibercriminales”.

Una vez instalado more_eggs, el backdoor puede ser utilizado por los clientes de Golden Chickens para impulsar sus propias campañas, infectando con malware adicional como ransomware, ladrones de credenciales y troyanos bancarios, advirtió eSentire. El acceso a la puerta trasera también podría utilizarse para encontrar y exfiltrar datos sensibles de la máquina de las víctimas, añadió.

Se cree que el grupo está aprovechando el elevado número de despidos de COVID-19 en Estados Unidos para difundir esta campaña de correo electrónico, al tiempo que incluye el propio puesto de trabajo de la víctima en LinkedIn como nombre del archivo Zip malicioso para aumentar las posibilidades de que lo abran.

El troyano también abusa de procesos legítimos de Windows como WMI para evadir la detección de las herramientas AV tradicionales.

La campaña es similar a otra de 2019 en la que empleados de empresas estadounidenses de venta al por menor, entretenimiento y farmacéuticas fueron blanco del mismo troyano more_eggs disfrazado de una oferta de trabajo que coincidía con su propio puesto actual, afirmó eSentire.

Con información de: Redes Zone.