More_eggs Malware Disfarçado como Currículos Alveja Recrutadores em Ataque de Phishing

Pesquisadores de cibersegurança detectaram um ataque de phishing distribuindo o malware More_eggs, disfarçando-o como um currículo, técnica originalmente detectada há mais de dois anos.

O ataque, que foi malsucedido, mirou uma empresa não identificada do setor de serviços industriais em maio de 2024, conforme divulgado pela empresa canadense de cibersegurança eSentire na semana passada.

Especificamente, o indivíduo alvo era um recrutador que foi enganado pelo ator ameaçador, fazendo-o acreditar que era um candidato a emprego e o atraiu para seu site para baixar o carregador.

O More_eggs, que se acredita ser obra de um ator de ameaça conhecido como Golden Chickens (também conhecido como Venom Spider), é uma porta dos fundos modular capaz de coletar informações sensíveis. Ele é oferecido a outros atores criminosos sob um modelo de Malware como Serviço (MaaS).

No ano passado, a eSentire revelou as identidades reais de duas pessoas – Chuck de Montreal e Jack – que supostamente estão liderando a operação.

A última cadeia de ataques envolve os atores maliciosos respondendo a postagens de empregos do LinkedIn com um link para um site falso de download de currículo que resulta no download de um arquivo LNK malicioso do Windows.

Vale ressaltar que atividades anteriores do More_eggs têm como alvo profissionais no LinkedIn com ofertas de emprego armadas para enganá-los a baixar o malware.

“Visitar a mesma URL dias depois resulta no currículo do indivíduo em HTML simples, sem indicação de redirecionamento ou download”, observou a eSentire.

O arquivo LNK é então usado para recuperar uma DLL maliciosa usando um programa legítimo da Microsoft chamado ie4uinit.exe, após o qual a biblioteca é executada usando regsvr32.exe para estabelecer persistência, coletar dados sobre o host infectado e descartar cargas adicionais, incluindo a porta dos fundos More_eggs baseada em JavaScript.

“As campanhas More_eggs ainda estão ativas e seus operadores continuam a usar táticas de engenharia social, como se passar por candidatos a emprego que procuram se candidatar a um cargo específico, e enganar as vítimas (especificamente recrutadores) para baixar seu malware”, disse a eSentire.

“Além disso, campanhas como more_eggs, que usam a oferta de MaaS, parecem ser escassas e seletivas em comparação com as redes típicas de distribuição de malspam.”