El phishing en LinkedIn aumenta con ataques más dirigidos



Con el fin de aprovechar a los usuarios sin trabajo, los grupos de malware continúan utilizando LinkedIn y los servicios empresariales para ofrecer trabajos ficticios y, en su lugar, transmitir infecciones.

Los ataques de phishing están dirigidos a usuarios sin trabajo en LinkedIn, creando señuelos utilizando títulos de trabajo extraídos de los perfiles de los trabajadores objetivo en un intento de convencerlos de que abran y ejecuten diferentes archivos o enlaces maliciosos, según un nuevo análisis de la firma de ciberseguridad eSentire. .

El ataque involucra una herramienta conocida como «more_eggs», un programa de puerta trasera sin archivos que consiste en un script que se ejecuta en la memoria y llama a varias funciones del sistema para comprometer la computadora del objetivo. La última variante del esquema united states of america un archivo ZIP malicioso etiquetado con el título del objetivo de LinkedIn y luego united states of america un archivo LNK para ejecutar.

El ataque muestra el grado en que los atacantes – en este caso, un grupo llamado «Golden Chickens» – están mejorando la personalización y la orientación para aumentar la probabilidad de éxito, dice Rob McLeod, director senior de Danger Reaction Device (TRU) de eSentire. .

«La personalización y el esfuerzo que ha realizado este grupo para hacer un señuelo convincente es significativo», dice. «Gran parte del arte comercial no es nuevo, y hemos visto este arte comercial utilizado por otros grupos antes, pero en este punto, muestra hasta qué punto los actores de amenazas están dispuestos a crear un señuelo creíble».

El ataque tuvo como objetivo a un profesional de la industria de la tecnología sanitaria, según Análisis de eSentire.

El ataque no es nuevo, y la firma de seguridad Proofpoint describió ataques similares en 2019 utilizando una versión anterior de la puerta trasera «additional_eggs». Los atacantes utilizaron un perfil falso creado en LinkedIn para ponerse en contacto con posibles objetivos y luego hicieron un seguimiento por correo electrónico, enviando una variedad de archivos adjuntos o enlaces maliciosos. A veces, los atacantes esperaban hasta una semana antes de dar seguimiento.

«A medida que los actores de amenazas continúan alejándose de las campañas de &#39rociar y rezar&#39 a gran escala y enfocarse en infecciones persistentes con descargadores, RAT (troyanos de acceso remoto), banqueros y otro malware, la ingeniería social cada vez más sofisticada y el malware sigiloso están haciendo su en una variedad de campañas «, afirma Proofpoint en su análisis. «Este actor proporciona ejemplos convincentes de estos nuevos enfoques, utilizando el raspado de LinkedIn, contactos de múltiples vectores y pasos con destinatarios, señuelos personalizados y diversas técnicas de ataque para distribuir el descargador More_eggs, que a su vez puede distribuir el malware de su elección en función del sistema. perfiles transmitidos al actor de la amenaza «.

Es possible que la campaña actual esté realizando un servicio de acceso por contrato, donde el actor de la amenaza compromete los sistemas y luego vende el acceso o instala el malware que elija el cliente felony. En el pasado, «additional_eggs» se ha relacionado con el grupo de delitos informáticos financieros FIN6, otro grupo de amenazas financieras conocido como Evilnum, y el Grupo Cobalt, según eSentire.

El uso de la secuencia de comandos «additional_eggs» subraya el aumento del uso de malware sin archivos por parte de los grupos de ataque. Estas técnicas de vivir fuera de la tierra se han vuelto muy populares porque dificultan la detección. En un informe publicado la semana pasada, la firma de seguridad WatchGuard descubrió que sus detecciones de malware sin archivos aumentaron en un factor de 8 durante el año pasado.

El ataque también subraya la dificultad de cualquier capa de seguridad para detectar y bloquear tales ataques. Es posible que la empresa no sea propietaria del punto last y tampoco puede proteger las cuentas personales de sus empleados. Es posible que la pink social no pueda determinar qué información e identidades son fraudulentas sin un nivel inaceptable de monitoreo. Y los usuarios no siempre tienen el nivel de aptitud técnica necesaria para detectar estafas.

La solución es utilizar los tres enfoques, dice McLeod. «Tenemos que tener capacitación en conciencia del usuario, por lo que (la defensa) no depende de la plataforma en la que se está ejecutando: verifique con quién está hablando y no confíe en los archivos adjuntos», dice. «Las empresas de redes sociales desempeñarán un papel importante porque necesitan hacer que la información falsa y los perfiles fraudulentos … sean completamente obvios. Y, finalmente, la empresa también tiene la responsabilidad de proteger sus terminales».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking at, MIT&#39s Engineering Assessment, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original