لقد ترك الاقتصاد غير المستقر الحالي عددًا غير قليل من الأشخاص يبحثون عن وظيفة جديدة. يستخدم الكثير من هؤلاء الأشخاص LinkedIn للبحث عن فرص عمل جديدة ، لكن مجموعة من الممثلين السيئين يبذلون قصارى جهدهم لجعل البحث عن وظيفة وقتًا سيئًا.
اكتشف باحثون أمنيون يعملون مع eSentire حملة برمجيات خبيثة جديدة ومفصلة للغاية. تسمى البرامج الضارة التي يستخدمها المتسللون "more_eggs" وهي عبارة عن باب خلفي لا يحتوي على ملفات ، يتم توزيعه من خلال رسائل تصيد احتيالية يمكن تصديقها يتم إرسالها إلى صناديق البريد الوارد الخاصة بالضحايا على LinkedIn.
لقد غطينا الحملة سابقًا وذكرنا أن ما يميزها هو الآلام الكبيرة التي بذلها الفاعلون السيئون لجعل إغراءات التصيد الاحتيالي تبدو قابلة للتصديق قدر الإمكان. تحتوي الرسائل على ملفات أرشيف ضارة ، عادة ما تكون ملفات مضغوطة ، تسمى تمامًا مثل التخصص الوظيفي للضحية ، ولكن مع إلحاق كلمة "منصب" ، كما أفادت eSentire في تقريرها الكامل الذي صدر بعد يوم من الإعلان الأصلي عن حملة التصيد.
بمجرد أن يفتح مستخدم LinkedIn المستهدف بالحملة عرض العمل الوهمي ، يبدأ التثبيت الصامت للباب الخلفي المجهول more_eggs. يمثل الباب الخلفي تهديدًا كبيرًا ، حيث يسمح لممثلي التهديد وراء الحملة بتنزيل ملفات ضارة إضافية على نظام الضحية والسيطرة على النظام المخترق.
يسرد خبراء eSentire الجهات الفاعلة في التهديد وراء البرمجيات الخبيثة ككيان يسمى Golden Chickens ويوضحون أن البرامج الضارة more_eggs لا يتم تشغيلها من قبلهم فقط ، بل يتم بيعها كحزمة خدمة للمتسللين الآخرين الذين يرغبون في استخدامها. "البرامج الضارة كخدمة" ليس مفهومًا جديدًا.
لقد رأينا سابقًا جهات تهديدات تقوم بتوزيع برامج الفدية وأنواع أخرى من البرامج الضارة كخدمة ، إما مقابل مدفوعات مقدمة أو مقابل جزء من الأرباح التي يحققها المتسللون من الجهات الخارجية الذين ينشرون البرامج الضارة.
More_eggs يمثل تهديدًا كبيرًا لأنه يقوم باختطاف واستخدام عمليات Windows لنشر نفسه. يتم إعطاء هذه العمليات المشروعة وظائف لتنفيذها باستخدام البرامج النصية. نظرًا لانخفاض مستوى البرنامج الضار في نظام الضحية ، نظرًا لكونه بلا ملف وإساءة استخدام عمليات النظام المشروعة ، فقد اجتذب البرنامج الضار انتباه مجموعات التهديد المستمرة المتقدمة سيئة السمعة بما في ذلك Cobalt Group و FIN6 و Evilnum.
نشر eSentire عددًا من مؤشرات التهديد المتعلقة بالبرامج الضارة more_eggs. والجدير بالذكر أنهم قاموا بإدراج تجزئة الملف لملف zip الضار وخادم التنزيل الذي تستخدمه البرامج الضارة.
الخادم: ec2-13-58-146-177.us-east-2.compute.amazonaws [.] com
More_eggs ملف مضغوط تجزئة: 776c355a89d32157857113a49e516e74
تشير حقيقة أن الجهات الفاعلة ذات التهديدات الكبيرة التي تبدي اهتمامًا بالبرامج الضارة more_eggs إلى أن الأسلوب المستهدف للغاية للتصيد الاحتيالي ، والذي يُطلق عليه أحيانًا التصيد بالرمح ، يبدو أنه يعمل لصالح المتسللين.