Campania LinkedIn de phishing: o nouă amenințare

Campagna di phishing LinkedIn: una nuova minaccia

Sembra che lo scrivo almeno una, se non due volte, a settimana: sviluppatori e hacker devono costantemente superarsi a vicenda. Gli sviluppatori risolvono un problema; gli hacker lo hanno battuto. Gli sviluppatori lo risolvono di nuovo e gli hacker lo battono di nuovo. E va in tondo. Una campagna di phishing LinkedIn è la minaccia più recente.

Gli hacker colpiscono LinkedIn

Sembra che niente sia più vietato. Dopo un anno di pandemia che ha visto la disoccupazione a livelli record, gli hacker stanno ora colpendo le caselle di posta di persone che stanno solo cercando di trovare un lavoro. È l’epitome di prendere a calci qualcuno quando è a terra.

L’azienda di sicurezza informatica eSentire ha ha emesso un avvertimento su un gruppo di hacker che ha lanciato una campagna di spearphishing su LinkedIn.

Offerte di lavoro false portano a un trojan backdoor. Questo dà agli hacker il controllo sui computer e sui dati degli utenti. Non solo sono disoccupati, ma ora stanno perdendo tutto ciò che è connesso ai loro computer. Durante la pandemia, questa è la loro ancora di salvezza.

La Threat Response Unit (TRU) di eSentire è stata in grado di mettere insieme il funzionamento della campagna di phishing di LinkedIn. Un utente del sito di social media riceverà un file zip dannoso in un’e-mail che offre una posizione di lavoro corrispondente al proprio profilo LinkedIn.

Una volta che un utente ha aperto il file zip, è stata lanciata la backdoor more_eggs. Potrebbe scaricare plug-in ancora più dannosi, consentendo agli hacker di accedere al computer dell’utente. La backdoor è stata poi venduta ad altri hacker, portando a tutti i tipi di malware.

“Ciò che è particolarmente preoccupante dell’attività more_eggs è che ha tre elementi che la rendono una minaccia formidabile per le imprese e i professionisti aziendali”, ha affermato il Sr. Direttore Rob McLeod della TRU.

Profilo della campagna di phishing Linkedin

Questi tre elementi sono:

  • Funziona su Windows per ridurre le possibilità di essere identificato dall’antivirus
  • Il lavoro desiderato dall’utente nell’e-mail aumenta la probabilità che venga aperto un file zip dannoso.
  • I disoccupati sono più disperati durante la pandemia.

I ricercatori hanno anche notato il caos furtivo della campagna di phishing di LinkedIn. Gli hacker lo hanno fatto “abusando dei processi Windows legittimi” che alimenta attraverso i file di script. Poiché utilizza malware-as-a-service (Maas), sembra “essere scarso e selettivo rispetto alle tipiche reti di distribuzione di malspam”.

Chi sono gli hacker?

Al momento in cui scriviamo, i ricercatori non hanno identificato gli hacker. Tuttavia, sono stati in grado di determinare che noti hacker – FIN6, Cobalt Group e Evilnum – erano i patroni della Maas.

Inoltre, non si sa quale sia l’obiettivo finale della campagna di phishing di LinkedIn, ma è simile a una campagna di phishing iniziale.

Tastiera della campagna di phishing di Linkedin

“Quello che sappiamo è che questa attività in corso rispecchia una campagna stranamente simile che è stata segnalata nel febbraio 2019, in cui sono state prese di mira le società statunitensi di vendita al dettaglio, intrattenimento e farmaceutiche, che offrono acquisti online”, ha spiegato l’avvertimento di eSentire.

“Gli autori delle minacce hanno inseguito i dipendenti di queste aziende con false offerte di lavoro, utilizzando abilmente il titolo di lavoro elencato sui loro profili LinkedIn nelle loro comunicazioni ai dipendenti. Analogamente all’incidente in corso, hanno utilizzato anche allegati di posta elettronica dannosi e, se il target ha fatto clic sull’allegato, sono stati colpiti da more_eggs “.

Indipendentemente dal fatto che tu stia attivamente cercando lavoro su LinkedIn, tieni presente questa campagna di phishing e sii vigile nell’aprire e-mail relative all’impiego da mittenti sconosciuti.

Continua a leggere per scoprire una scappatoia di LinkedIn che consentiva agli utenti di pubblicare lavori falsi su qualsiasi pagina.

Torna su