พบผู้ไม่หวังดีพุ่งเป้าโจมตีผู้ใช้งาน LinkedIn ด้วยการหลอกเสนองาน

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews