En estos últimos días ha aparecido una nueva campaña de
spear-phishing que tiene el objetivo de instalar un backdoor utilizando el
troyano more_eggs. En esta campaña se dirige el phishing a profesionales
en LinkedIn con ofertas de trabajo.
En este phishing se utilizan los nombres de los puestos de
trabajo de la víctima para nombrar el archivo ZIP malicioso, tomados los
nombres de los propios perfiles de LinkedIn. Este truco que utilizan los
atacantes sirve para conseguir una mayor probabilidad de éxito mayor.
Varias campañas con el mismo modus operandi utilizando el
propio archivo JS de more_eggs han sido detectadas desde 2018, esta
puerta trasera se atribuye a un grupo llamado Golden Chickens que vende
su malware como servicio (MaaS). Por el momento no se ha podido determinar el
atacante detrás de esta nueva campaña de phishing, aunque la realidad es que el
JS utilizado para la puerta trasera ha sido utilizado en el pasado por grupos
como Cobalt, FIN6 y EvilNum.
Una vez el equipo está infectado more_eggs se mantiene
en un perfil sigiloso secuestrando procesos legítimos de Windows, mientras realiza
el secuestro de los servicios se presenta un documento señuelo con el nombre de
solicitud de empleo distrayendo de esta forma al usuario. Por otra parte, este
malware puede utilizarse para obtener otras cargas útiles de un servidor
controlado por el propio atacante, estas cargas pueden ser troyanos bancarios,
ransomware, ladrones de credenciales, llegando incluso a utilizar el backdoor
instalado para exfiltrar datos de la víctima.
Toda esta información ha sido sacada en un análisis que ha
realizado la empresa de ciberseguridad eSentire’s Threat Response Unit.
