网络安全研究人员发现了一种网络钓鱼攻击,该攻击通过伪装成简历来传播 More_eggs 恶意软件,这种技术最初在两年多前就被发现。
加拿大网络安全公司 eSentire上周披露,此次攻击于 2024 年 5 月针对工业服务行业的一家未具名公司进行了攻击,但并未成功。
“具体来说,受攻击目标是一名招聘人员,被威胁行为者欺骗,以为他们是求职者,并引诱他们到他们的网站下载加载程序,”eSentire披露。
More_eggs 被认为是名为 Golden Chickens(又名 Venom Spider)的威胁行为者所为,它是一种模块化后门,能够收集敏感信息。它以恶意软件即服务 (MaaS) 模式提供给其他犯罪行为者。
去年,eSentire 揭露了幕后经营者的真实身份——据说是加拿大蒙特利尔的查克和杰克。
最新的攻击链涉及恶意行为者通过指向虚假简历下载网站的链接回应 LinkedIn 招聘信息,从而导致下载恶意 Windows 快捷方式文件 (LNK)。
值得注意的是,之前的 More_eggs 活动曾针对 LinkedIn 上的专业人士,以虚假的工作机会诱骗他们下载恶意软件。
eSentire 指出:“几天后导航到同一个 URL 会导致个人简历以纯 HTML 形式显示,没有任何重定向或下载的迹象。”
然后,利用名为 ie4uinit.exe 的合法 Microsoft 程序,使用 LNK 文件检索恶意 DLL,之后使用 regsvr32.exe 执行该库以建立持久性、收集有关受感染主机的数据并投放其他有效负载,包括基于 JavaScript 的More_eggs 后门。
eSentire 表示:“More_eggs 活动仍然活跃,其运营商继续使用社会工程策略,例如冒充想要申请特定职位的求职者,并引诱受害者(特别是招聘人员)下载他们的恶意软件。”
“此外,与典型的恶意垃圾邮件分发网络相比,使用 MaaS 产品的 more_eggs 等活动似乎比较稀疏且具有选择性。”
与此同时,该网络安全公司还披露了驱动下载活动的细节,该活动利用虚假的KMSPico Windows 激活工具网站来分发 Vidar Stealer。
eSentire指出: “kmspico[.]ws 网站托管在 Cloudflare Turnstile 后面,需要人工输入(输入代码)才能下载最终的 ZIP 包。”“这些步骤对于合法的应用程序下载页面来说并不常见,这样做是为了向自动网络爬虫隐藏页面和最终的有效负载。”
Trustwave SpiderLabs上周表示,类似的社会工程活动还建立了模仿合法软件(如 Advanced IP Scanner)的网站来部署 Cobalt Strike 。
此前,一种名为 V3B 的新型网络钓鱼工具包也出现了,该工具包被用于挑选欧盟银行客户,目的是窃取凭证和一次性密码 (OTP)。
据称,该套件自 2023 年 3 月起开始活跃,通过暗网上的网络钓鱼即服务 ( PhaaS ) 模式和专用 Telegram 频道以每月 130 至 450 美元的价格提供。它旨在支持位于奥地利、比利时、芬兰、法国、德国、希腊、爱尔兰、意大利、卢森堡和荷兰的 54 多家银行。
V3B 最重要的方面是它具有定制和本地化的模板,以模仿该地区网上银行和电子商务系统中常见的各种身份验证和验证流程。
它还具有高级功能,可以与受害者实时互动并获取他们的 OTP 和PhotoTAN代码,以及对允许通过二维码登录的 WhatsApp 等服务执行二维码登录劫持(又名QRLJacking )攻击。
Resecurity表示:“他们已经建立了一个专注于针对欧洲金融机构的客户群。目前,估计有数百名网络犯罪分子正在使用这种工具进行欺诈,导致受害者的银行账户空空如也。”
