Proofpoint: Пользователям LinkedIn внедряют бэкдор More-eggs с помощью фейковых вакансий
С середины 2018 года Proofpoint отслеживает активность бэкдора More-eggs в сервисах моментального обмена сообщениями. Сейчас же их взор пал на LinkedIn, где и была зафиксирована активность фишеров.
Данная атака была нацелена на пользователей из США и выглядит следующим образом.
Злоумышленник пытается установить контакт с потенциальными жертвами, использую службу прямых сообщений LinkedIn. В последующих письмах он делает вид, что работает в HR компании и обращается к «жертве» с предложением работы.
Во многих случаях злоумышленник использует для большей достоверности кампании с поддельными сайтами реальных HR служб. Эти веб-сайты, однако, являются хранилищем вредоносного кода. В других случаях используется ряд вредоносных вложений в моментальных сообщениях для распространения бэкдора More_eggs.
При открытии фальшивой страницы автоматически загружается поддельный документ Microsoft Office, созданный с помощью инструмента Taurus Builder. При активации макроса на компьютер загружается бэкдор More_eggs.
Что такое More-eggs
More_eggs — это вредоносная программа, написанная на JavaScript, используемая в ряде фишинговых компаний. Он часто используется в качестве загрузчика. В дополнение к своей способности загружать дополнительные полезные нагрузки, More_eggs предоставляет возможности удаленного контроля и установки стороннего вредоносного ПО. Вредоносная программа была впервые задокументирована Trend Micro.