Фішери за допомогою LinkedIn впроваджують бекдор More_eggs в системи американських компаній

10:15
Фішери за допомогою LinkedIn впроваджують бекдор More_eggs в системи американських компаній

Експерти групи Proofpoint Threat Insight зафіксували фішингову кампанію по поширенню бекдора More_eggs за допомогою підроблених пропозицій про роботу, націлену на співробітників американських фірм, що використовують торговельні портали і системи online-платежів.

Створений на основі JavaScript бекдор дозволяє зловмисникам віддалено контролювати зламані комп'ютери і впроваджувати додаткові шкідливі програми на комп'ютери своїх жертв.
Спочатку More_eggs був виявлений фахівцями компанії Trend Micro влітку 2017 року. З тих пір він використовувався в численних фішингових кампаніях, спрямованих на східноєвропейські фінансові установи або виробників банкоматів та інших платіжних систем.
Атака починається з відправки особистого повідомлення нібито з легітимною облікового запису в LinkedIn, за яким слід ряд електронних повідомлень, що включають або шкідливе вкладення, або підроблену посилання.
Протягом тижня зловмисник відправляє особисті листи на робочу адресу жертви, нагадуючи одержувачу про попередній спробі зв'язатися через LinkedIn. В якості теми для контакту він використовує професійну кваліфікацію жертви, зазначену в LinkedIn. URL-адреси, вбудовані в текст фішингових листів або вкладень, переадресовують користувача на сторінку нібито належить кадровому агентству. При відкритті фальшивої сторінки автоматично завантажується підроблений документ Microsoft Office, створений за допомогою інструменту Taurus Builder. При активації макросу на комп'ютер завантажується бекдор More_eggs.
Як відзначають ІБ-експерти, кіберзлочинці використовують кілька методів доставки бекдора More_eggs на комп'ютери своїх цілей: 1) за допомогою URL шкідливої сторінки, з якої відбувається завантаження проміжного завантажувача JavaScript або документа Microsoft Word з шкідливим макросом або експлойтів; 2) коротких посилань, що ведуть на ту ж цільову сторінку; 3) PDF-документів з посиланням на шкідливу сторінку; 4) захищеного паролем вкладення Microsoft Word з макросами, які завантажують More_eggs; 5) електронних листів без шкідливих вкладень або URL-адрес, які використовуються для установки взаємозв'язку з користувачем.
Завантаживши бекдор More_eggs на скомпрометовані комп'ютери, зловмисники адаптують свої атаки до будь-якої захисту на пристроях жертв.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.