هدف قراردادن استخدام‌کنندگان توسط بدافزار More_eggs پنهان شده به‌عنوان رزومه در یک حمله فیشینگ

محققان امنیت سایبری یک حمله فیشینگ را شناسایی کرده‌اند که بدافزار More_eggs را با مخفی‌کردن آن به‌عنوان یک رزومه توزیع می‌کند، تکنیکی که در ابتدا بیش از دو سال پیش ‌شناسایی شد[۱].

هفته گذشته شرکت امنیت سایبری کانادایی eSentire فاش کرد[۲] این حمله که ناموفق بود، یک شرکت ناشناس در صنعت خدمات صنعتی را در می ۲۰۲۴ هدف قرار داد.

در این بیانیه آمده است: «به طور خاص، فرد موردنظر استخدام‌کننده‌ای بود که توسط عامل تهدید فریب خورد و تصور کرد که متقاضی کار است و آنها را برای دانلود لودر به وب‌سایت خود کشاند.»

More_eggs که گمان می‌رود اثر یک بازیگر تهدید به نام Golden Chickens (معروف به Venom Spider) باشد، یک درب پشتی ماژولار است که قادر به جمع‌آوری اطلاعات حساس است و تحت یک مدل Malware-as-a-Service (MaaS) به دیگر بازیگران جنایت‌کار ارائه می‌شود.

سال گذشته، eSentire هویت دنیای واقعی دو نفر – Chuck از مونترال[۳] و [۴]Jack – را که گفته می‌شود این عملیات را اجرا می‌کنند، افشا کرد.

آخرین زنجیره حمله مستلزم واکنش بازیگران مخرب به آگهی‌های شغلی لینکدین با پیوندی به یک سایت دانلود رزومه جعلی است که منجر به دانلود یک فایل میان‌بر مخرب ویندوز (LNK) می‌شود.

شایان‌ذکر است که فعالیت قبلی More_eggs متخصصان لینکدین را با پیشنهادهای شغلی[۵] هدف قرار داده است تا آنها را فریب دهند تا این بدافزار را دانلود کنند.

eSentire خاطرنشان کرد: «پیمایش به همان URL چند روز بعد منجر به رزومه فرد در HTML ساده، بدون هیچ نشانه‌ای از تغییر مسیر یا دانلود می‌شود.»

سپس فایل LNK برای بازیابی یک DLL مخرب با استفاده از یک برنامه قانونی مایکروسافت به نام ie4uinit.exe استفاده می‌شود، پس از آن کتابخانه با استفاده از regsvr32.exe برای ایجاد پایداری، جمع‌آوری داده‌ها در مورد میزبان آلوده و رهاکردن بارهای اضافی، از جمله درب پشتی [۶]More_eggs مبتنی بر جاوا اسکریپت اجرا می‌شود.

eSentire گفت: «کمپین‌های More_eggs هنوز فعال هستند و اپراتورهای آنها همچنان از تاکتیک‌های مهندسی اجتماعی استفاده می‌کنند، مانند ظاهرشدن به‌عنوان متقاضیان شغلی که به دنبال درخواست برای یک نقش خاص هستند، و قربانیان (مخصوصاً استخدام‌کنندگان) را برای دانلود بدافزارشان فریب می‌دهند.»

“علاوه بر این، کمپین‌هایی مانند more_eggs که از پیشنهاد MaaS استفاده می‌کنند، در مقایسه با شبکه‌های توزیع malspam معمولی، پراکنده و انتخابی به نظر می‌رسند.”

این توسعه زمانی انجام می‌شود که این شرکت امنیت سایبری جزئیات یک کمپین دانلود را فاش کرده است که از وب‌سایت‌های جعلی برای ابزار فعال‌کننده ویندوز KMSPico برای توزیع Vidar Stealer استفاده می‌کند[۷].

eSentire خاطرنشان کرد[۸]: “سایت kmspico[.]ws در پشت Cloudflare Turnstile میزبانی می‌شود و برای دانلود بسته نهایی ZIP به ورودی انسانی (واردکردن یک کد) نیاز دارد. این مراحل برای یک صفحه دانلود برنامه قانونی غیرعادی است و برای پنهان‌کردن صفحه و payload نهایی از crawlerهای وب خودکار انجام می‌شود.”

Trustwave SpiderLabs هفته گذشته گفت[۹]، کمپین‌های مهندسی اجتماعی مشابه همچنین سایت‌های مشابهی را راه‌اندازی کرده‌اند که جعل نرم‌افزار قانونی مانند Advanced IP Scanner برای استقرار Cobalt Strike هستند.

همچنین به دنبال ظهور یک کیت فیشینگ جدید به نام V3B است که برای شناسایی مشتریان بانکی در اتحادیه اروپا با هدف سرقت اطلاعات کاربری و رمزهای عبور یکبار مصرف (OTP) مورداستفاده قرار گرفته است.

گفته می‌شود این کیت با قیمت ۱۳۰ تا ۴۵۰ دلار در ماه از طریق مدل [۱۰]Phishing-as-a-a-Service (PhaaS) از طریق dark web و یک کانال تلگرام اختصاصی ارائه می‌شود و گفته می‌شود که از مارس ۲۰۲۳ فعال بوده است و برای پشتیبانی از بیش از ۵۴ بانک واقع در اتریش، بلژیک، فنلاند، فرانسه، آلمان، یونان، ایرلند، ایتالیا، لوکزامبورگ و هلند طراحی شده است.

مهم‌ترین جنبه V3B این است که دارای قالب‌های سفارشی و بومی‌سازی شده برای تقلید از فرایندهای مختلف احراز هویت و تأیید رایج در سیستم‌های بانکداری آنلاین و تجارت الکترونیک در منطقه است.

همچنین دارای قابلیت‌های پیشرفته‌ای برای تعامل با قربانیان در زمان واقعی و دریافت کدهای OTP و PhotoTAN[11] آنها و همچنین اجرای یک حمله ورود به سیستم QR (معروف به [۱۲]QRLJacking) در سرویس‌هایی مانند WhatsApp است که اجازه ورود از طریق کدهای QR را می‌دهد.

Resecurity گفت[۱۳]: «آنها از آن زمان یک پایگاه مشتری با تمرکز بر هدف قراردادن مؤسسات مالی اروپایی ایجاد کردند. در حال حاضر تخمین زده می‌شود که صدها مجرم سایبری از این کیت برای ارتکاب کلاهبرداری استفاده می‌کنند و قربانیان را با حساب‌های بانکی خالی می‌گذارند.»

 

منابع

[۱] https://thehackernews.com/2022/04/hackers-sneak-moreeggs-malware-into.html

[۲] https://www.esentire.com/blog/more-eggs-activity-persists-via-fake-job-applicant-lures

[۳] https://thehackernews.com/2023/01/experts-uncover-identity-of-mastermind.html

[۴] https://thehackernews.com/2023/05/meet-jack-from-romania-mastermind.html

[۵] https://thehackernews.com/2021/04/hackers-targeting-professionals-with.html

[۶] https://quointelligence.eu/2020/07/golden-chickens-evolution-of-the-maas

[۷] https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html

[۸] https://www.esentire.com/blog/autoit-delivering-vidar-stealer-via-drive-by-downloads

[۹] https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/fake-advanced-ip-scanner-installer-delivers-dangerous-cobaltstrike-backdoor

[۱۰] https://thehackernews.com/2024/04/global-police-operation-disrupts.html

[۱۱] https://www.commerzbank.com/portal/fr/cb/de/firmenkunden/services/apps/phototan-15/photoTan.html

[۱۲] https://intel471.com/blog/phishing-emails-abusing-qr-codes-surge

[۱۳] https://www.resecurity.com/blog/article/cybercriminals-attack-banking-customers-in-eu-with-v3b-phishing-kit

[۱۴] https://thehackernews.com/2024/06/moreeggs-malware-disguised-as-resumes.html