Les pirates tentent de briser votre sécurité en vous envoyant des emplois trop beaux pour être vrais au moyen de plateformes de réseaux sociaux réputées telles que Linkedin.
La pandémie ayant entraîné des licenciements à travers le monde, les recherches de tâches sur Internet ont augmenté de manière disproportionnée. Les pirates en profitent, attirent les individus avec des offres d’emploi et utilisent même des plateformes de médias sociaux professionnelles comme Linkedln.
Un rapport récemment publié par le fournisseur de solutions de cybersécurité eSentire, a révélé que des pirates cachaient des fichiers zip malveillants dans de fausses offres d’emploi. Une fois que les utilisateurs les ont téléchargés, ils lancent une attaque de phishing extrêmement sophistiquée sur leurs ordinateurs.
Le 5 avril, eSentire a annoncé que les cybercriminels dissimulaient même des logiciels malveillants dans de faux emplois LinkedIn.
Selon le rapport, les chercheurs de l’Unité de réponse aux risques (TRU) pour eSentire ont découvert qu’un groupe de pirates informatiques avait utilisé de fausses offres de tâches pour attaquer des spécialistes commerciaux sur Linkedin via un malware de Troie de porte dérobée, ce qui le rend possible pour les pirates à partir d’un autre endroit de contrôler le système informatique de la victime. Peu de temps après la violation de la sécurité du système, ils envoient, reçoivent, lancent et suppriment des fichiers.
Comment ça marche?
Les e-mails dessinent initialement sur le profil de chaque victime pour développer une offre convaincante et personnalisée. À l’ouverture de cette fausse offre par les victimes, elles peuvent involontairement lancer l’installation furtive de la porte dérobée sans fichier appelée more_eggs. Il n’y a pas de demande destructive pour un antivirus à identifier. Toute l’action se déroule en annulant les procédures Windows normales et en exécutant des scripts en mémoire.
Lorsqu’elle est chargée, la porte dérobée sophistiquée peut télécharger des plugins malveillants supplémentaires et fournir un accès pratique au système informatique de la victime. Le groupe de hackers derrière la configuration sournoise vend ensuite la porte dérobée dans le cadre d’un plan de malware-as-a-service (MaaS) à d’autres cybercriminels.
Dès que more_eggs devient actif sur l’ordinateur des victimes, les Golden Eggs Les clients minables peuvent entrer et infecter le système avec n’importe quel type de logiciel malveillant: ransomware, voleurs d’informations d’identification, logiciels malveillants bancaires, ou simplement utiliser la porte dérobée comme une poignée dans le réseau de la victime en ce qui concerne les données d’exfiltration.
, l’entreprise a déclaré dans son rapport; « Par exemple, si le poste du membre LinkedIn est noté comme Senior Account Executive – International Freight, le fichier zip destructeur serait intitulé Senior Account Executive – International Freight position (notez que la » position « a contribué à la fin). Lors de l’ouverture du faux offre d’emploi, la victime démarre sans le savoir la configuration sournoise de la porte dérobée sans fichier, more_eggs (un malware JavaScript). «
La menace présentée par more_eggs aux organisations et aux individus
Directeur principal de la TRU, Rob McLeod a déclaré; « Ce qui est particulièrement inquiétant à propos de l’activité more_eggs, c’est qu’elle comporte 3 éléments qui en font un risque redoutable pour les services et les spécialistes métier ».
Selon McLeod, les trois risques redoutables de l’activité more_eggs sont:
1. Il utilise des processus Windows normaux pour s’exécuter, de sorte qu’il ne sera généralement pas obtenu par les options antivirus et de sécurité automatique, il est donc plutôt sournois.
2. L’inclusion du poste de la cible de LinkedIn dans l’offre d’emploi militarisée. Cela augmente les chances que le destinataire fasse exploser le malware.
3. Depuis le début de la pandémie COVID, les taux de chômage ont en fait augmenté de façon spectaculaire. C’est le moment idéal pour tirer le meilleur parti des chercheurs d’emploi qui ont désespérément besoin de trouver un emploi. Par conséquent, un leurre de tâches personnalisé est encore plus attrayant en ces temps troublés.
« Ces composants font plus_eggs, et les cybercriminels qui utilisent cette porte dérobée sont vraiment mortels », a-t-il ajouté.
L’équipe de recherche d’eSentire n’a pas encore découvert de preuves solides sur l’identité du groupe de piratage, le rapport a montré qu’en tant que service, le malware a en fait été particulièrement utilisé par 3 groupes de dangers notables appelés FIN6, Cobalt Group et Evilnum.
Toute l’actualité en temps réel, est sur L’Entrepreneur
