Proofpoint: Пользователям LinkedIn внедряют бэкдор More-eggs с помощью фейковых вакансий

С середины 2018 года Proofpoint отслеживает активность бэкдора More-eggs в сервисах моментального обмена сообщениями. Сейчас же их взор пал на LinkedIn, где и была зафиксирована активность фишеров.

Данная атака была нацелена на пользователей из США и выглядит следующим образом.

Злоумышленник пытается установить контакт с потенциальными жертвами, использую службу прямых сообщений LinkedIn. В последующих письмах он делает вид, что работает в HR  компании и обращается к «жертве» с предложением работы.

Во многих случаях злоумышленник  использует для большей достоверности кампании с поддельными сайтами реальных HR служб. Эти веб-сайты, однако, являются хранилищем вредоносного кода. В других случаях используется ряд вредоносных вложений в моментальных сообщениях для распространения бэкдора More_eggs.

При открытии фальшивой страницы автоматически загружается поддельный документ Microsoft Office, созданный с помощью инструмента Taurus Builder. При активации макроса на компьютер загружается бэкдор More_eggs.

Что такое More-eggs

More_eggs — это вредоносная программа, написанная на JavaScript, используемая в ряде фишинговых компаний. Он часто используется в качестве загрузчика. В дополнение к своей способности загружать дополнительные полезные нагрузки, More_eggs предоставляет возможности удаленного контроля и установки стороннего вредоносного ПО. Вредоносная программа была впервые задокументирована Trend Micro.