Se ha observado una campaña de correo electrónico de phishing dirigida a reclutadores con una puerta trasera de JavaScript llamada More_eggs, lo que indica esfuerzos persistentes para identificar al sector bajo la apariencia de cebos falsos para solicitantes de empleo.
«Un sofisticado señuelo de phishing engañó a un oficial de reclutamiento para que descargara y ejecutara un archivo malicioso disfrazado de currículum, lo que provocó una infección de puerta trasera more_eggs», dijeron los investigadores de Trend Micro Ryan Soliven, Maria Emreen Viray y Fe Cureg en un análisis.
More_eggs, vendido como malware como servicio (MaaS), es un software malicioso que viene con capacidades para robar credenciales, incluidas aquellas relacionadas con cuentas bancarias en línea, cuentas de correo electrónico y cuentas de administrador de TI.
Se atribuye a un actor de amenazas llamado grupo Golden Chickens (también conocido como Venom Spider), y ha sido utilizado por varios otros grupos de delitos electrónicos como FIN6 (también conocido como ITG08 ), Cobalt y Evilnum.
A principios de junio, eSentire reveló detalles de un ataque similar que utiliza LinkedIn como vector de distribución de currículums falsos alojados en un sitio controlado por el atacante. Los archivos, en realidad, son archivos de acceso directo de Windows (LNK) que, al abrirse, activan la secuencia de infección.
Los últimos hallazgos de Trend Micro marcan una ligera desviación del patrón observado anteriormente, ya que los actores de amenazas enviaron un correo electrónico de phishing selectivo en un probable intento de generar confianza y ganarse su confianza. El ataque se observó a fines de agosto de 2024 y estaba dirigido a un líder de búsqueda de talentos que trabajaba en el sector de ingeniería.
«Poco después, un agente de contratación descargó un supuesto currículum, John Cboins.zip, desde una URL a través de Google Chrome», dijeron los investigadores. «No se determinó de dónde obtuvo el usuario la URL. Sin embargo, estaba claro por las actividades de ambos usuarios que estaban buscando un ingeniero de ventas interno».
La URL en cuestión, johncboins[.]com, contiene un botón «Descargar CV» para incitar a la víctima a descargar un archivo ZIP que contiene el archivo LNK. Cabe señalar que la cadena de ataque informada por eSentire también incluye un sitio idéntico con un botón similar que descarga directamente el archivo LNK.
Al hacer doble clic en el archivo LNK se ejecutan comandos ofuscados que conducen a la ejecución de una DLL maliciosa, que, a su vez, es responsable de colocar la puerta trasera More_eggs a través de un lanzador.
More_eggs comienza sus actividades verificando primero si se está ejecutando con privilegios de administrador o de usuario, y luego ejecuta una serie de comandos para realizar un reconocimiento del host comprometido. Posteriormente, se comunica con un servidor de comando y control (C2) para recibir y ejecutar cargas útiles de malware secundario.
Trend Micro dijo que observó otra variación de la campaña que incluye componentes PowerShell y Visual Basic Script (VBS) como parte del proceso de infección.
«Atribuir estos ataques es complicado debido a la naturaleza de MaaS, que permite la externalización de varios componentes e infraestructura de ataque», afirmó. «Esto dificulta identificar a los actores de amenazas específicos, ya que varios grupos pueden utilizar las mismas herramientas e infraestructura proporcionadas por servicios como los que ofrece Golden Chickens».
Dicho esto, se sospecha que el ataque podría haber sido obra de FIN6, señaló la compañía, citando las tácticas, técnicas y procedimientos (TTP) empleados.
El desarrollo se produce semanas después de que HarfangLab arrojara luz sobre PackXOR, un empaquetador privado utilizado por el grupo de delitos cibernéticos FIN7 para cifrar y ofuscar la herramienta AvNeutralizer.
La firma francesa de ciberseguridad dijo que observó que el mismo empaquetador se utilizaba para «proteger cargas útiles no relacionadas», como el minero de criptomonedas XMRig y el rootkit r77, lo que aumenta la posibilidad de que otros actores de amenazas también pudieran aprovecharlo.
«Los desarrolladores de PackXOR podrían estar conectados al clúster FIN7, pero el empaquetador parece usarse para actividades que no están relacionadas con FIN7», dijo HarfangLab.
Fuente y redacción: thehackernews.com