Uma campanha de e-mail de phishing foi vista visando recrutadores com um back-end JavaScript chamado More_eggs, indicando esforços contínuos para atingir este setor sob o disfarce de candidatos a empregos.
“Uma sofisticada tática de phishing enganou um recrutador para que ele baixasse e extraísse um arquivo malicioso disfarçado de primer, levando a múltiplas infecções de óvulos”, disseram os pesquisadores da Trend Micro Ryan Soliven, Maria Emreen Viray e Fe Cureg em sua análise.
More_eggs, vendido como malware como serviço (MaaS), é um software malicioso que vem com a capacidade de falsificar credenciais, incluindo aquelas relacionadas a contas bancárias online, contas de e-mail e contas de administrador de TI.
É considerado um ator de ameaça chamado grupo Golden Chickens (também conhecido como Venom Spider) e tem sido usado por vários outros grupos criminosos, como FIN6 (também conhecido como ITG08), Cobalt e Evilnum.
No início de junho, a eSentire divulgou detalhes de um ataque semelhante que usou o LinkedIn como ponto de distribuição de currículos falsos hospedados em um site controlado pelo invasor. Os arquivos são, na verdade, arquivos de atalho do Windows (LNK) que, quando abertos, desencadeiam uma sequência de infecção.
As últimas descobertas da Trend Micro marcam um ligeiro afastamento do padrão visto anteriormente, de que os agentes de ameaças enviavam e-mails de phishing em uma possível tentativa de construir confiança e ganhar sua confiança. Este ataque foi constatado no final de agosto de 2024, visando a busca de talentos que atuam na área de engenharia.
“Imediatamente depois disso, o gerente de contratação baixou um currículo chamado John Cboins.zip, de uma URL usando o Google Chrome”, disseram os pesquisadores. “Não foi especificado onde este usuário obteve a URL. No entanto, fica claro pelas atividades de ambos os usuários que eles procuravam um engenheiro de vendas interno.”
O URL em questão, johncboins[.]com, contém um botão “Baixar CV” para motivar a vítima a baixar um arquivo ZIP contendo o arquivo LNK. Vale ressaltar que a série de ataques relatados pelo eSentire também inclui um site semelhante com um botão semelhante que baixa diretamente o arquivo LNK.
Clicar duas vezes no arquivo LNK resulta na execução de comandos obscuros que levam à execução de uma DLL maliciosa, que, por sua vez, é responsável por descartar o backdoor More_eggs através do inicializador.
More_eggs inicia suas operações verificando primeiro se está executando privilégios administrativos ou de usuário, seguido pela execução de uma série de comandos para chamar a atenção do host vulnerável. Em seguida, ele é enviado para o servidor de comando e controle (C2) para receber e executar a segunda carga útil do malware.
A Trend Micro disse que viu outras variantes da campanha que incluem componentes PowerShell e Visual Basic Script (VBS) como parte do processo de infecção.
“Este ataque é desafiador devido à natureza do MaaS, que permite a liberação de vários componentes e infraestrutura de ataque”, disse ele. “Isso dificulta a aplicação de certos atores de ameaças, já que muitos grupos podem usar as mesmas ferramentas e infraestrutura fornecidas por serviços como os fornecidos pela Golden Chickens”.
Dito isso, suspeita-se que o ataque possa ter sido obra da FIN6, observou a empresa, citando as táticas, estratégias e procedimentos (TTPs) empregados.
Este desenvolvimento ocorre semanas depois que o HarfangLab revelou o PackXOR, um pacote secreto usado pelo grupo de crimes cibernéticos FIN7 para criptografar e ocultar a ferramenta AvNeutralizer.
A empresa francesa de segurança cibernética disse ter visto o mesmo empacotador ser usado para “proteger cargas não relacionadas”, como o minerador de criptomoedas XMRig e o rootkit r77, sugerindo que também pode ser usado por outros atores de ameaças.
“Os desenvolvedores do PackXOR podem estar conectados ao cluster FIN7, mas o pacote parece ser usado para atividades não relacionadas ao FIN7”, disse HarfangLab.
