Nel panorama sempre più complesso della sicurezza informatica, una recente campagna di spear-phishing ha attirato l'attenzione degli esperti per la sua capacità di ingannare i professionisti delle risorse umane attraverso false candidature di lavoro. Questa campagna ha utilizzato un malware noto come More_eggs, un software dannoso venduto come servizio (MaaS) che si distingue per la sua abilità nel rubare credenziali sensibili, comprese quelle relative a conti bancari online e account email. Il malware è associato a un attore di minaccia chiamato Golden Chickens, e viene sfruttato anche da altri gruppi criminali come FIN6 e Evilnum.

Strategia di attacco

La strategia utilizzata prevede l'invio di email di spear-phishing a responsabili delle assunzioni, convincendoli a scaricare ed eseguire un file dannoso mascherato da curriculum vitae. In un attacco recente, un addetto alla selezione del personale ha scaricato un file ZIP da un URL, contenente un file LNK che, una volta aperto, attiva la catena di infezione. Questo metodo è stato precedentemente documentato anche da eSentire, che ha rilevato attacchi simili sfruttando LinkedIn come vettore di distribuzione.

Modalità di infezione

Una volta eseguito, il file LNK innesca una serie di comandi offuscati che portano all'esecuzione di una DLL malevola, responsabile del rilascio del backdoor More_eggs. Questo backdoor inizia le sue operazioni verificando i privilegi dell'utente e eseguendo comandi per raccogliere informazioni sul sistema compromesso. Successivamente, si collega a un server di comando e controllo per ricevere ed eseguire carichi di malware secondari.

Osservazioni e varianti

Trend Micro ha osservato anche una variazione della campagna che include componenti PowerShell e VBS nel processo di infezione. L'attribuzione di questi attacchi risulta complessa a causa della natura del MaaS, che consente di esternalizzare vari componenti dell'attacco e le infrastrutture. Tuttavia, si sospetta che il gruppo FIN6 possa essere coinvolto, considerando le tecniche e le procedure impiegate.

Campagne parallele

Parallelamente, la società di cybersecurity Silent Push ha identificato campagne in corso da parte di FIN7 che distribuiscono il RAT NetSupport tramite siti web che richiedono l'installazione di estensioni del browser per accedere a contenuti specifici. Questi siti imitano marchi legittimi come SAP Concur e Microsoft, utilizzando tattiche SEO per migliorare il posizionamento nei risultati di ricerca. La crescente sofisticazione di questi attacchi sottolinea l'importanza di adottare misure di sicurezza avanzate per proteggere le organizzazioni da minacce sempre più evolute.