Phishing su LinkedIn, la truffa della finta offerta di lavoro: è un malware - Cyber Security 360

L'ANALISI TECNICA

Phishing su LinkedIn, la truffa della finta offerta di lavoro: è un malware

Una campagna di phishing sta prendendo di mira gli utenti LinkedIn con finte offerte di lavoro che, in realtà, nascondono un pericoloso malware. E, purtroppo, gli attacchi potrebbero aumentare e diventare mirati in seguito al data leak di milioni di account sul social network. Ecco come difendersi

13 Apr 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

La Threat Response Unit (TRU) del team di ricerca sicurezza canadese eSentire ha scoperto una campagna di spear phishing che ha preso di mira il noto social network per professionisti e aziende LinkedIn propinando, attraverso dei link accompagnati da false offerte di lavoro personalizzate, un file archivio .zip malevolo e veicolante la backdoor conosciuta come more_eggs.

In questo modo, gli autori criminali riescono ad ottenere il controllo remoto del computer della vittima per inviare plugin aggiuntivi ed eseguire codice arbitrario

In particolare, l’attenzione dei target su LinkedIn è stata attirata con annunci e link rinominati esattamente con l’ultima posizione lavorativa ricoperta dall’ignara vittima secondo una logica spiegata dagli stessi ricercatori: se l’ultima posizione lavorativa del target è, per esempio, Senior Account Executive — International Freight, allora la nomenclatura personalizzata conterrà lo stesso titolo ma con l’aggiunta alla fine della parola position (“Senior Account Executive — International Freight position”).

Come funziona la backdoor more_eggs

Venduto dal provider Malware as a Service (MaaS) denominato “Golden Chickens”, more_eggs è stato già utilizzato in passato per altri attacchi da diverse affiliazioni criminali come FIN6, Cobalt Group ed Evilnum, soprattutto per quelle peculiarità che consentono l’esfiltrazione di dati e l’impiego dei sistemi infettati anche come teste di ponte per distribuire ransomware, infostealer e trojan bancari di vario tipo.

Ciò che rende tale minaccia particolarmente letale e sfruttabile dai criminali informatici contro aziende e professionisti aziendali, spiega Rob McLeod, Sr. Director della Threat Response Unit (TRU) per eSentire, sono tre fattori principali:

  1. l’impiego abusivo, tramite script implementati ad hoc, di normali e legittimi processi di Windows per evadere la rilevazione di antivirus e soluzioni di sicurezza automatizzate;
  2. come già accennato, l’inclusione nei falsi annunci di lavoro (armati con payload) della posizione lavorativa ricoperta dall’obiettivo, che aumenta le probabilità che il destinatario avvii la catena d’infezione;
  3. la pandemia sanitaria in corso che aumentando i tassi di disoccupazione può essere sfruttata per approfittare delle persone che sono alla disperata ricerca di un impiego.

Phishing su LinkedIn: la catena d’infezione

Secondo la ricostruzione di un caso studio, condotta dagli analisti eSentire e che ha riguardato un professionista nel settore della tecnologia sanitaria, la catena d’infezione ha inizio dopo aver scaricato e aver aperto la presunta domanda di lavoro (file .zip), propinata attraverso un link annuncio, in realtà creato con il builder VenomLNK per connettersi ad un server remoto e recuperare il payload definitivo.

Abusando della Strumentazione Gestione di Windows (WMIC), VenomLNK procede così all’abilitazione del plugin loader TerraLoader e allo sfruttamento dei processi di Windows cmstp.exe e regsvr32.exe per:

  • presentare alla vittima un documento esca, scaricato da un dominio AWS ec2-13-58-146-177.us-east-2.compute.amazonaws [.] com, ovvero un documento Word che altro non è se non uno specchietto per le allodole con l’unico scopo di distrarre la vittima dalla reale attività malevola nascosta e in corso;
  • caricare, dallo stesso dominio AWS, il payload TerraPreter ovvero un controllo ActiveX (file .ocx);
  • installare il binario msxsl.exe nel profilo roaming dell’utente (C:/Users/…/AppData/Roaming/Microsoft/) per iniziare la comunicazione con il server di comando e controllo C2 (d27qdop2sa027t.cloudfront [.] net) e avviare l’attività malware.

Come proteggersi dal phishing su LinkedIn

Il recente data leak con 500 milioni di profili LinkedIn messi in vendita sul Dark Web non fa certo ben sperare. I criminali informatici, infatti, combinando queste informazioni rubate con quelle anche trapelate da altre passate violazioni di dati potrebbero, senza dubbio, condurre ulteriori campagne come queste basate su strategie mirate di phishing e social engineering anche meglio perfezionate, alle quali risultano esposti anche aziende e professionisti italiani iscritti a LinkedIn e che ricoprono un bacino, non di poco conto, di circa 21 milioni di utenze.

Per ridurre il rischio sia d’infezione da malware sia di cadere vittima di ogni tipo di truffa online anche su LinkedIn, vanno sempre bene le solite raccomandazioni:

  • verificare l’identità dell’interlocutore prima di scaricare allegati e aprire link in modo superficiale e frettoloso;
  • attivare l’autenticazione a due fattori;
  • scansionare spesso il proprio computer con antivirus e soluzioni di sicurezza aggiornati;
  • aggiornare il sistema operativo;
  • evitare di salvare abitualmente su PC e moduli browser le credenziali degli account in uso;
  • eseguire un backup periodico di file, documenti e sistemi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4