Une nouvelle campagne de spear phishing tirant parti des utilisateurs de LinkedIn utilise de fausses offres d'emploi pour attirer des victimes potentielles. La charge utile de l'opération malveillante est la porte dérobée more_eggs contrôlée par les hackers Golden Chicken.
D'après les chercheurs en sécurité d'eSentire, les messages de phishing tentent d'inciter les professionnels de LinkedIn à ouvrir une pièce jointe .ZIP malveillante. Le fichier est nommé en utilisant l'intitulé du poste actuel de la victime, dans une tentative de le faire paraître légitime.
“Par exemple, si le poste du membre LinkedIn est répertorié comme Senior Account Executive - International Freight, le fichier zip malveillant sera intitulé Senior Account Executive - International Freight position (notez la «position» ajoutée à la fin),” le rapport expliqué.
En savoir plus sur la porte dérobée more_eggs
L'opération de phishing more_eggs se compose de trois éléments, ce qui en fait une «menace redoutable pour les entreprises et les professionnels».
Tout d'abord, la porte dérobée utilise des processus Windows pour exécuter, le rendant assez difficile à détecter par les solutions de sécurité antivirus. En d'autres termes, la porte dérobée est «assez furtive». Grâce au nom attirant du fichier ZIP malveillant (le titre du poste du professionnel, plus le mot «position»), les chances de l'exécuter sont beaucoup plus élevées.
Aussi, les assaillants exploitent intelligemment le nombre de chômeurs qui a augmenté pendant la pandémie. «Un leurre de travail personnalisé est encore plus attrayant en ces temps troublés,"Note le rapport des chercheurs. Sans surprise, ce n'est pas la première opération de phishing qui profite de la pandémie COVID-19. L'année dernière, nous avons signalé que plus que 300 campagnes de phishing créés pour collecter les informations personnelles et bancaires des victimes potentielles circulaient sur le Web.
Les chercheurs ne sont toujours pas certains de l'objectif final de l'opération de spear phishing. Heureusement, les activités associées à la porte dérobée more_eggs contre les utilisateurs de LinkedIn sont désormais interrompues. Il convient de noter que cette campagne est «étrangement similaire» à une autre opération de spear phishing détectée en février. 2019, cibler le commerce de détail, divertissement, et les employés pharmaceutiques aux États-Unis.
Autres campagnes de phishing contre les utilisateurs de LinkedIn
Il y a eu de nombreuses campagnes de phishing ciblant divers professionnels sur LinkedIn. Une autre campagne a tenté de tromper les utilisateurs du réseau professionnel pour qu'ils téléchargent leurs CV via des e-mails de leurre intitulés "offres d'emploi pour les utilisateurs actifs LinkedIn".
CV sont généralement abondante avec des informations personnelles sensibles, y compris les adresses à domicile, adresses e-mail, et les numéros de téléphone. La disponibilité des informations personnelles peut conduire à une variété d'activités, y compris la sollicitation à froid promotionnelle, vol d'identité, attaques de vishing, plus les tentatives de phishing ciblant les employeurs lance ou collègues de l'utilisateur ciblé.