Investigadores de ciberseguridad han identificado un ataque de phishing que distribuye el malware More_eggs disfrazado de currículum, una técnica descubierta hace más de dos años.
El ataque, que no tuvo éxito, se dirigió a una empresa no identificada en la industria de servicios industriales en mayo de 2024, según eSentire, una firma canadiense de ciberseguridad.
eSentire reveló que el objetivo del ataque fue un reclutador engañado por el actor de amenazas para que creyera que era un solicitante de empleo. Este reclutador fue engañado para ir a un sitio web falso y descargar el cargador.
Se cree que More_eggs, desarrollado por el grupo de amenazas Golden Chickens (también conocido como Venom Spider), es un backdoor modular que puede recopilar información sensible. Este malware se ofrece a otros delincuentes bajo un modelo de Malware como Servicio (MaaS).
eSentire también desenmascaró a dos personas, Chuck de Montreal y Jack, como los presuntos líderes de la operación el año pasado.
La última cadena de ataques implica que los actores maliciosos respondan a publicaciones de trabajo en LinkedIn con un enlace a un sitio falso donde se descarga un archivo malicioso de acceso directo de Windows (LNK).
Es importante destacar que More_eggs ha utilizado tácticas similares en el pasado, dirigiéndose a profesionales en LinkedIn con ofertas de trabajo manipuladas para engañarlos y hacer que descarguen el malware.
Según eSentire, el archivo LNK se utiliza para recuperar una DLL maliciosa, la cual aprovecha un programa legítimo de Microsoft llamado ie4uinit.exe. Después de esto, la biblioteca se ejecuta utilizando regsvr32.exe para establecer persistencia y recopilar datos sobre el host infectado, y dejar cargas adicionales, incluido el backdoor More_eggs basado en JavaScript.
eSentire advirtió que las campañas de More_eggs siguen activas y sus operadores continúan utilizando tácticas de ingeniería social, haciéndose pasar por solicitantes de empleo para engañar a las víctimas, especialmente a reclutadores, y lograr que descarguen el malware.
La firma de ciberseguridad también reveló detalles de una campaña de descarga impulsada por visitas que utiliza sitios falsos para la herramienta de activación de Windows KMSPico para distribuir Vidar Stealer.
Estas campañas de ingeniería social también han configurado sitios de aspecto similar que suplantan software legítimo, como Advanced IP Scanner, para desplegar Cobalt Strike, según Trustwave SpiderLabs.
Además, ha surgido un nuevo kit de phishing llamado V3B que ha sido utilizado para selectos clientes bancarios en la Unión Europea con el objetivo de robar credenciales y contraseñas de un solo uso (OTPs).
Este kit, ofrecido a través de un modelo de Phishing como Servicio (PhaaS) en la dark web y un canal de Telegram, ha estado activo desde marzo de 2023 y está diseñado para atacar a más de 54 bancos en varios países europeos.
V3B cuenta con plantillas personalizadas y localizadas para imitar procesos de autenticación comunes en sistemas bancarios y de comercio electrónico en la región. Además, tiene capacidades para obtener códigos OTP y PhotoTAN, así como ejecutar un ataque de QRLJacking en servicios como WhatsApp.
El kit ha logrado construir una base de clientes enfocada en atacar a las instituciones financieras europeas, estimándose que cientos de ciberdelincuentes lo están utilizando para cometer fraudes.
Vía The Hacker News
