Cybersecurity-onderzoekers hebben een phishing-aanval opgemerkt waarbij de More_eggs-malware werd verspreid door deze voor te doen als een cv, een techniek die oorspronkelijk meer dan twee jaar geleden werd ontdekt.
De aanval, die niet succesvol was, was in mei 2024 gericht op een niet bij naam genoemd bedrijf in de industriële dienstverlening, zo maakte het Canadese cyberbeveiligingsbedrijf eSentire vorige week bekend.
“In het bijzonder was de beoogde persoon een recruiter die door de bedreigingsacteur werd misleid door te denken dat hij een sollicitant was en hem naar hun website lokte om de loader te downloaden”, aldus het rapport.
More_eggs, vermoedelijk het werk van een bedreigingsacteur die bekend staat als de Golden Chickens (ook bekend als Venom Spider), is een modulaire achterdeur die in staat is gevoelige informatie te verzamelen. Het wordt aan andere criminele actoren aangeboden onder een Malware-as-a-Service (MaaS)-model.
Vorig jaar ontmaskerde eSentire de echte identiteit van twee personen – Chuck uit Montreal en Jack – die naar verluidt de operatie zouden leiden.
De nieuwste aanvalsketen houdt in dat kwaadwillende actoren reageren op vacatures op LinkedIn met een link naar een nep-cv-downloadsite die resulteert in het downloaden van een kwaadaardig Windows Shortcut-bestand (LNK).
Het is vermeldenswaard dat eerdere More_eggs-activiteiten zich op professionals op LinkedIn richtten met bewapende vacatures om hen te misleiden om de malware te downloaden.
“Dagen later naar dezelfde URL navigeren resulteert in het CV van het individu in gewone HTML, zonder indicatie van een omleiding of download”, merkte eSentire op.
Het LNK-bestand wordt vervolgens gebruikt om een kwaadaardige DLL op te halen door gebruik te maken van een legitiem Microsoft-programma genaamd ie4uinit.exe, waarna de bibliotheek wordt uitgevoerd met behulp van regsvr32.exe om persistentie tot stand te brengen, gegevens over de geïnfecteerde host te verzamelen en extra payloads te verwijderen, waaronder de Op JavaScript gebaseerde More_eggs-achterdeur.
“More_eggs-campagnes zijn nog steeds actief en hun exploitanten blijven social engineering-tactieken gebruiken, zoals zich voordoen als sollicitanten die op een bepaalde functie willen solliciteren, en slachtoffers (met name recruiters) verleiden om hun malware te downloaden”, aldus eSentire.
“Bovendien lijken campagnes zoals more_eggs, die gebruik maken van het MaaS-aanbod schaars en selectief in vergelijking met typische malspam-distributienetwerken.”
De ontwikkeling komt op het moment dat het cyberbeveiligingsbedrijf ook details onthulde van een drive-by downloadcampagne waarbij nepwebsites worden gebruikt voor de KMSPico Windows-activatortool om Vidar Stealer te distribueren.
“De kmspico(.)ws-site wordt gehost achter Cloudflare Turnstile en vereist menselijke input (het invoeren van een code) om het uiteindelijke ZIP-pakket te downloaden”, aldus eSentire. “Deze stappen zijn ongebruikelijk voor een legitieme applicatie-downloadpagina en worden uitgevoerd om de pagina en de uiteindelijke payload te verbergen voor geautomatiseerde webcrawlers.”
Soortgelijke social engineering-campagnes hebben ook lookalike-sites opgezet die zich voordoen als legitieme software zoals Advanced IP Scanner om Cobalt Strike in te zetten, zei Trustwave SpiderLabs vorige week.
Het volgt ook op de opkomst van een nieuwe phishing-kit, V3B genaamd, die is gebruikt om bankklanten in de Europese Unie te identificeren met als doel inloggegevens en eenmalige wachtwoorden (OTP's) te stelen.
De kit, aangeboden voor $130-$450 per maand via een Phishing-as-a-Service (PhaaS)-model via het dark web en een speciaal Telegram-kanaal, zou actief zijn sinds maart 2023. Het is ontworpen om meer dan 54 banken te ondersteunen. gevestigd in Oostenrijk, België, Finland, Frankrijk, Duitsland, Griekenland, Ierland, Italië, Luxemburg en Nederland.
Het belangrijkste aspect van V3B is dat het over aangepaste en gelokaliseerde sjablonen beschikt om verschillende authenticatie- en verificatieprocessen na te bootsen die gebruikelijk zijn bij systemen voor online bankieren en e-commerce in de regio.
Het wordt ook geleverd met geavanceerde mogelijkheden om in realtime met slachtoffers te communiceren en hun OTP- en PhotoTAN-codes te verkrijgen, en om een QR-code login jacking (ook wel QRLJacking) aanval uit te voeren op diensten zoals WhatsApp die inloggen via QR-codes mogelijk maken.
“Sindsdien hebben ze een klantenbestand opgebouwd dat zich richt op het richten van Europese financiële instellingen”, aldus Resecurity. “Momenteel wordt geschat dat honderden cybercriminelen deze kit gebruiken om fraude te plegen, waardoor slachtoffers met lege bankrekeningen achterblijven.”