Yeni bir kimlik avı kampanyası, LinkedIn üzerindeki profesyonellere, “more_eggs” adlı sofistike bir truva atı bulaştırmak için “iş teklifleri” sunuyor. Siber güvenlik firması eSentire’ın açıklamasına göre kötücül virüsü şöyle kuruyor[1] :
“Sahte iş teklifini açtıktan sonra, kurban farkında olmadan more-eggs adını taşıyan dosya içermeyen arka kapının gizlice kurulumunu başlatır”
Kimlik avı tuzakları, LinkedIn profillerinden alınan kurbanların iş unvanlarıyla aynı adı taşıyan iş teklifiymiş gibi gözüken kötü amaçlı ZIP dosyaları yolluyor. Örneğin, LinkedIn üyesinin işi “Kıdemli Müşteri Temsilcisi – Perakende” olarak gözüküyorsa, kötü amaçlı zip dosyası “Kıdemli Müşteri Temsilcisi – Perakende” pozisyonu olarak adlandırılıyor. Gelen dosya şöyle bir şey;
More_eggs yüklendikten sonra, sahte “istihdam uygulaması” belgesini sunarken, Windows işlemlerini ele geçirecek gizli bir profil yaratıyor. Sonrasında bankacılık truva atları, fidye yazılımları, kimlik bilgileri hırsızları gibi saldırgan kontrollü bir sunucudan başka truva atları almak için bir yol
Golden Chickens adlı kötü amaçlı yazılım (MaaS) sağlayıcısı tarafından yaratıldığı düşünülen arka kapı ile aynı çalışma yöntemini kullanan kampanyalar en azından 2018’den beri mevcut[2]. more_eggs daha önce Cobalt, FIN6 ve EvilNum gibi çeşitli siber suç grupları tarafından kullanıldı ama şu anda kimin tarafından kullanıldığı bilinmiyor. Araştırmacılar şöyle diyor :
“COVID salgınından bu yana, işsizlik önemli ölçüde arttı. İş bulmak için çaresiz olan iş arayanlardan kandırmayı denemek için mükemmel bir zamanlama”
[2] The Chicken Keeps Laying New Eggs: Uncovering New GC MaaS Tools Used By Top-tier Threat Actors