Trend Micro сообщает о новой волне атак с применением бэкдора More_eggs.
Исследователи Trend Micro выявили новую фишинговую кампанию, нацеленную на HR-специалистов. В ходе этой кампании злоумышленники отправляют фишинговые письма, замаскированные под обращения соискателей, чтобы проникнуть в сети крупных организаций и заразить их JavaScript-бэкдором «More_eggs».
Данный бэкдор продаётся как услуга (MaaS) и позволяет киберпреступникам получать доступ к конфиденциальной информации, такой как учётные данные банков, электронной почты и администраторских аккаунтов. Программное обеспечение связано с группировкой Golden Chickens (известной также как Venom Spider), которая сотрудничает с другими киберпреступными группами, такими как FIN6 (ITG08), Cobalt и Evilnum.
Ранее, в июне, компания eSentire обнаружила аналогичную атаку. В ней злоумышленники использовали LinkedIn для размещения поддельных резюме, которые на самом деле являлись вредоносными ярлыками, запускающими процесс заражения.
Новая версия атаки, зафиксированная Trend Micro, отличается тем, что фишинговое письмо направлялось конкретно для налаживания доверительных отношений. В частности, рассмотренная атака была нацелена на сотрудника по подбору персонала в инженерной компании, который загрузил резюме в архиве «John Cboins.zip» с подозрительного сайта «johncboins[.]com».
Этот сайт предлагал фальшивое резюме в виде ZIP-архива с LNK-файлом. При его открытии выполнялись зашифрованные команды, запускающие вредоносную DLL для загрузки бэкдора More_eggs. Вредоносная программа в процессе запуска проверяет уровень привилегий пользователя и выполняет команды для сбора информации о системе, после чего связывается с сервером управления для получения дополнительных модулей.
Исследователи обнаружили и другую вариацию этой кампании, использующую PowerShell и Visual Basic Script для заражения. Учитывая, что More_eggs продаётся как сервис, установить точного автора атак сложно. Однако методы, использованные в атаке, могут указывать на группировку FIN6.
Эта кампания ещё раз подчёркивает растущую угрозу целевых фишинговых атак на HR-специалистов. Использование фальшивых резюме как инструмента для проникновения в корпоративные сети требует повышенной бдительности при работе с файлами от неизвестных источников. Злоумышленники всё чаще применяют персонализированный подход, что делает такие атаки более успешными и сложно распознаваемыми.
Одно найти легче, чем другое. Спойлер: это не темная материя