Home  >  Segurança

Cibercriminosos usam ofertas de empregos falsas para explorar vulnerabilidades

Acredita-se que gangue cibercriminosa vende backdoor para campanhas de spearphishing executadas usando informações coletadas das vítimas no LinkedIn

Lucian Constantin, CSO

08/04/2021 às 19h10

Foto: Adobe Stock

Um grupo de criminosos por trás de um backdoor furtivo conhecido como more_eggs está visando profissionais com ofertas de emprego falsas feitas sob medida para eles com base nas informações de seus perfis do LinkedIn. O grupo está vendendo acesso a sistemas infectados pelo backdoor para outros grupos sofisticados de crimes cibernéticos, incluindo FIN6, Evilnum e Cobalt Group, que são conhecidos por visar organizações de vários setores.

Spearfishing com informações do LinkedIn

Em um ataque recente detectado por pesquisadores da empresa de detecção e resposta gerenciada eSentire, os hackers atacaram um profissional que trabalhava no setor de tecnologia de saúde com um e-mail de phishing que imitava uma oferta de emprego para um cargo idêntico ao que o alvo havia listado em sua página de perfil do LinkedIn. Essa parece ser uma técnica que esse grupo, conhecido na indústria de segurança como Golden Chickens, também usou no passado.

Os e-mails usados de isca contêm um arquivo zip com o nome do cargo que o e-mail oferece. Se aberto, ele inicia um componente malicioso conhecido como VenomLNK, que serve como o primeiro estágio na infecção de more_eggs.

"Golden Chickens vende o backdoor sob um arranjo de malware-as-a-service (MaaS) para outros cibercriminosos", disse a equipe de pesquisa do eSentire em seu relatório. "Assim que more_eggs estiver no sistema do computador da vítima, os clientes decadentes do Golden Eggs podem entrar e infectar o sistema com qualquer tipo de malware: ransomware, ladrões de credenciais, malware bancário ou simplesmente usar o backdoor como um ponto de apoio na rede da vítima para para exfiltrar dados".

A cadeia de infecção

Uma vez executado na máquina da vítima, o VenomLNK usa o Windows Management Instrumentation (WMI), um subsistema do PowerShell, para implantar o segundo estágio desse ataque: um carregador de malware conhecido como TerraLoader.

TerraLoader sequestra dois processos legítimos do Windows, cmstp e regsvr32, para carregar a carga útil final chamada TerraPreter, que é baixada de servidores hospedados no Amazon AWS para escapar de possíveis filtros de rede e é implantada como um controle ActiveX. ActiveX é uma estrutura que permite a execução de código por meio do Internet Explorer e tem suporte nativo no Windows.

TerraLoader também cai e abre um documento do Microsoft Word projetado para se parecer com um aplicativo de emprego legítimo. Isso é usado apenas como um engodo para que o usuário não suspeite ao abrir o anexo do e-mail.

A carga útil do TerraPreter sinaliza de volta ao servidor de comando e controle dos invasores que foi implantado e, então, está pronto para receber comandos. Os invasores podem então usá-lo para obter acesso prático ao computador da vítima, implantar plug-ins ou cargas adicionais de malware.

"More_eggs mantém um perfil furtivo abusando de processos legítimos do Windows e alimenta essas instruções de processo por meio de arquivos de script", disseram os pesquisadores do eSentire. "Além disso, as campanhas que usam a oferta MaaS parecem ser esparsas e seletivas em comparação com as redes de distribuição de malspam típicas".

Clientes poderosos da Golden Chickens

Os Golden Chickens parecem atender apenas a um grupo seleto de atacantes de alto perfil. Provavelmente, um de seus clientes é o FIN6, um notório grupo de cibercrime financeiro que existe desde, pelo menos, 2014. Esse grupo é conhecido por ter como alvo sistemas de ponto de venda físico e, mais recentemente, sistemas de pagamento on-line para roubar dados de cartão e vendê-los no mercado subterrâneo.

O FIN6 atingiu organizações dos setores de varejo, hospitalidade e restaurantes ao longo dos anos e foi visto usando backdoors more_eggs em ataques contra empresas de comércio eletrônico em 2019. Em uma campanha separada de 2019 visando empresas multinacionais, FIN6 usou a mesma isca de phishing contando com falsas ofertas de emprego para funcionários-alvo.

Outro ator de ameaça conhecido por usar more_eggs é Evilnum, um grupo conhecido por ter como alvo empresas de tecnologia financeira e plataformas de negociação de ações desde 2018. Evilnum também é um grupo de mercenários suspeitos que vende serviços de hacker de aluguel. De acordo com o eSentire, os invasores do Evilnum também lançam phishing nos funcionários das empresas que eles almejam com anexos zip maliciosos que às vezes contêm o backdoor more_eggs.

Um terceiro ator do crime cibernético que usa more_eggs é o Cobalt Group, também conhecido como Carbanak. Este grupo é especializado em roubar dinheiro de bancos e outras organizações financeiras e é conhecido por seu profundo reconhecimento e paciência - o grupo pode passar meses dentro de redes de vítimas analisando seus aplicativos personalizados e fluxos de trabalho antes de atacar.

Dado o tipo de grupos que usam more_eggs e sua sofisticação, uma infecção com esse backdoor em uma rede deve ser levada muito a sério e deve levar a uma investigação forense completa. Os invasores podem já ter se espalhado para sistemas críticos e estão se preparando para lançar um ataque mais sério ou estão exfiltrando informações confidenciais.