Actualités

LinkedIn : quand une offre d’emploi séduisante révèle, en réalité, une porte dérobée ! (aux œufs et au “beacon”…)

En Août 2020 – entre-autres, le malware BlindingCan (DreamJob) tentait de miroiter “le job de vos rêves” : s’instillant depuis une attaque par ingénierie sociale assez complexe, en réalité, l’offre recelait un malware dont de nombreux points accusaient, potentiellement, le groupe Lazarus. Les chercheurs de l’équipe sécuritaire eSentire viennent de mettre à nu une cyber-menace similaire…

 

L’équipe de recherche d’eSentire, la Threat Response Unit (TRU), a découvert que les pirates sont des victimes de spear phishing avec un fichier zip malveillant en utilisant le poste indiqué sur le profil LinkedIn de la cible. Par exemple, si le poste du membre LinkedIn est répertorié comme Senior Account Executive – International Freight, le fichier zip malveillant sera intitulé Senior Account Executive – International Freight position (notez la «position» ajoutée à la fin). Lors de l’ouverture de la fausse offre d’emploi, la victime lance involontairement l’installation furtive de la porte dérobée sans fichier, more_eggs. Une fois chargée, la porte dérobée sophistiquée peut télécharger des plug-ins malveillants supplémentaires et fournir un accès pratique à l’ordinateur de la victime. Le groupe de menaces derrière more_eggs, Golden Chickens, vend la porte dérobée dans le cadre d’un arrangement de malware-as-a-service (MaaS) à d’autres cybercriminels. Une fois que more_eggs est sur le système informatique de la victime, les clients pointables (ndlr : partage en réseau) de Golden Eggs peuvent entrer et infecter le système avec n’importe quel type de malware: ransomware, voleurs d’informations d’identification, malware bancaire, ou simplement utiliser la porte dérobée comme point de départ dans le réseau de la victime afin de exfiltrer les données“, indique le billet sécuritaire, le 5 Avril 2021.

Cette attaque ciblée (harponnage ou spear phishing) remonte à 2017 : dans sa version initiale découverte par TrendMicro, more_eggs est un installateur (downloader) recelant du JavaScript vérolé pour amorcer d’autres outils ou déployer d’autres fonctionnalités malveillantes. Concernant la porte dérobée actuelle, VenomLNK est utilisé en premier et à l’insu de la future victime, avant que more_eggs ne lui emboîte le pas. Une fois Windows Management Instrumentation contourné de la sorte, une extension nommée TerraLoader s’active : c’est à ce moment que le document frauduleux – type Word – est soumis à la cible-victime dans le but principal de distraire ou détourner son attention qui pourrait éventuellement voir ce qu’il se passe sur le terminal, à ce moment précis. Pendant ce temps, un fichier Excel ainsi qu’une “charge utile” sont installées sur le compte-utilisateur ; le tout agrémenté d’un ActiveX obtenus de manière distante depuis un serveur AWS… La viralité continue son installation toujours de manière distante en exploitant la fonction beacon tout en communicant avec un serveur, cette fois, command-and-control. Installation de ransomwares, ex-filtration de données, modification, création de données : le choix applicatif est vaste pour cette porte dérobée de type Malware-as-a-Service (MaaS) qui prend son sein depuis une pièce jointe banale mais astucieuse puisqu’elle exploite diverses informations contenus dans un profil LinkedIn. Plusieurs pistes (non-confirmées, pour l’heure) permettent de pointer une exploitation de cyber-groupes tels que FIN6, Evilnum ou encore le groupe Cobalt… A veiller !

 

 

Source : eSentire – 5 Avril 2021 – LinkedIn : découverte d’une campagne de spear phishing intégrant une porte dérobée de type MaaS (indicateurs de compromission en fin de billet).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2