Bilgisayar korsanları, LinkedIn kullanıcılarını kötü amaçlı yazılım yaymak için sahte iş teklifleriyle hedef alıyor
Golden Chicken grubu, More_Eggs arka kapısını diğer gruplara hizmet olarak kötü amaçlı yazılım (MaaS) modeli olarak satıyor.
Golden Chicken bilgisayar korsanlığı grubu, LinkedIn kullanıcılarını, kurbanların bilgisayarlarının kontrolünü ele geçirmelerine olanak tanıyan karmaşık bir kötü amaçlı yazılım türü bulaştırmak için sahte iş teklifleri ile hedefliyor.
Güvenlik firması eSentire’a göre, bu bilgisayar korsanları , kurbanın LinkedIn’de listelenen işini kullanarak kötü niyetli bir .ZIP dosyasıyla kimlik avı kurbanlarına saldırarak More_Eggs kötü amaçlı yazılımını yaydılar.
Bu dosyalar, tam iş unvanını yansıtacak şekilde başlıklandırılmıştır. Örneğin, işi olarak ‘Kıdemli Hesap Yöneticisi Uluslararası Nakliye’yi listeleyen bir kullanıcıya, ‘Kıdemli Hesap Yöneticisi – Uluslararası Nakliye pozisyonu’ başlıklı kötü amaçlı bir .ZIP dosyası gönderilecektir.
Kurbanlar dosyayı açtıktan sonra, More_eggs arka kapısının gizli kurulumunu başlatır, bu da ek kötü amaçlı eklentileri indirebilir ve cihazlarına uzaktan erişim sağlayabilir.
Golden Chicken, More_Eggs’in meşru Windows işlemlerini kötüye kullanarak gizli bir profil sağlama eğilimiyle mümkün kılınan bir hizmet olarak kötü amaçlı yazılım (MaaS) düzenlemesi altında arka kapıyı diğer siber suçlulara satıyor.
ESentire kullanan araştırmacılar, bir sağlık teknolojisi uzmanının kötü amaçlı bir .ZIP dosyasını indirip yürüttüğü etkin bir hedefli kimlik avı olayını bozdu.
Araştırmacılar, kurbanın, TerraLoader eklenti yükleyicisini etkinleştirmek için Windows Yönetim Araçlarını kötüye kullanan More_Eggs’in ilk aşaması olan VenomLNK’yi farkında olmadan etkinleştirdiğini gördüler. Bu da cmstp ve regsvr32 işlemlerini ele geçirir.
TerraLoader başlatılırken, mağdura bir iş başvurusunu taklit etmesi için sahte bir Word belgesi sunulur, ancak enfeksiyonda işlevsel bir amaca hizmet etmez. Bu, kullanıcıyı More_Eggs’in arka plan görevlerinden uzaklaştıran bir tuzaktır.
TerraLoader daha sonra msxsl’yi kullanıcının dolaşım profiline yükler ve msxsl kopyası aracılığıyla bir komut ve kontrol (C&C) sunucusuna sinyal göndermeden önce yükü yükler. Bu işaret daha sonra More_Eggs arka kapısının Golden Chicken müşterisinin oturum açması ve hedefini gerçekleştirmeye başlaması için hazır olduğunu bildirir.
MaaS modelinde More_Eggs’in satıldığı gruba bağlı olarak olasılıklar, fidye yazılımı gibi ek kötü amaçlı yazılım türlerini bulaştırmayı veya verileri çalmak için kurbanın ağına bir yer edinmeyi içerir.
ESentire araştırmacıları, Şubat 2019’da bildirilen ve More_Eggs arka kapısını da içeren benzer bir kampanyayı yansıtsa da, bu kampanyanın nihai amaçlarının ne olabileceğini şimdiye kadar belirleyemediler.
Yazının orijinali için tıklayınız.