Als Lebenslauf getarnte More_eggs-Malware phisht bei Personalvermittlern
Bei einer aktuellen Phishing-Attacke tarnt sich die More_eggs Malware als Lebenslauf. Bereits vor mehr als zwei Jahren gab es ähnliche Versuche. Der erneute Angriff zielte im Mai 2024 auf ein nicht namentlich genanntes Unternehmen der Industrie-Dienstleistungsbranche ab, blieb aber erfolglos.
„Konkret handelte es sich bei der Zielperson um einen Anwerber, der von dem Bedrohungsakteur als Bewerber getäuscht und auf seine Website gelockt wurde, um den Loader herunterzuladen“, so das kanadische Cybersicherheitsunternehmen eSentire.
More_eggs, vermutlich erstellt von dem als Golden Chickens bekannten Bedrohungsakteur (auch bekannt als Venom Spider), ist eine vielseitige, modulare Schadsoftware, die sensible Informationen stehlen kann. Sie wird anderen Kriminellen als Malware-as-a-Service (MaaS) angeboten. Letztes Jahr enthüllte eSentire die Identitäten von zwei Personen aus Montreal, die als Betreiber der Operation gelten.
In der jüngsten Angriffskette antworten die böswilligen Akteure auf LinkedIn-Stellenanzeigen mit einem Link zu einer gefälschten Website zum Herunterladen von Lebensläufen. In Wirklichkeit wird von dort eine bösartige Windows-Verknüpfungsdatei (LNK) auf das System gespielt. Bemerkenswert ist, dass More_eggs bereits in der Vergangenheit Fachleute auf LinkedIn mit gefälschten Jobangeboten angesprochen hat, um sie zum Herunterladen der Malware zu verleiten. „Ruft man die gleiche URL Tage später auf, wird nur der Lebenslauf der Person in einfachem HTML angezeigt, ohne Hinweise auf eine Weiterleitung oder einen Download“, so eSentire.
Die LNK-Datei wird dann verwendet, um über das legitime Microsoft-Programm ie4uinit.exe eine bösartige DLL abzurufen. Anschließend wird die Bibliothek mit regsvr32.exe ausgeführt, um Persistenz herzustellen, Daten über den infizierten Host zu sammeln und zusätzliche Schadsoftware abzulegen, einschließlich der JavaScript-basierten More_eggs-Backdoor.
„More_eggs-Kampagnen sind immer noch aktiv, und ihre Betreiber nutzen weiterhin Social-Engineering-Taktiken wie das Vortäuschen von Stellenbewerbungen, um Personalverantwortliche zum Herunterladen ihrer Malware zu verleiten“, berichtet eSentire.
Das Cybersicherheitsunternehmen machte auch Details einer Drive-by-Download-Kampagne öffentlich, die gefälschte Websites für das KMSPico Windows-Aktivierungstool nutzt, um Vidar Stealer zu verbreiten. „Die Website kmspico[.]ws wird hinter Cloudflare Turnstile gehostet und erfordert die Eingabe eines Codes durch den Nutzer, um das endgültige ZIP-Paket herunterzuladen“, so eSentire. „Diese Schritte sind ungewöhnlich für eine legitime Download-Seite und dienen dazu, die Seite und die Schadsoftware vor automatisierten Web-Crawlern zu verbergen.“
Erst vor kurzem berichtete Trustwave SpiderLabs, dass ähnliche Social-Engineering-Kampagnen ebenfalls täuschend echte Websites eingerichtet haben, die sich als legitime Software wie Advanced IP Scanner ausgeben, um Cobalt Strike zu verbreiten.
Außerdem gibt es ein neues Phishing-Kit namens V3B, das Bankkunden in der EU angreift, um Anmeldedaten und Einmalpasswörter (OTPs) zu stehlen. Das Kit wird als Phishing-as-a-Service (PhaaS) im Dark Web und über einen speziellen Telegram-Kanal für 130 bis 450 US-Dollar pro Monat angeboten und ist seit März 2023 aktiv. Es unterstützt über 54 Banken in Österreich, Belgien, Finnland, Frankreich, Deutschland, Griechenland, Irland, Italien, Luxemburg und den Niederlanden.
Das Besondere an V3B sind die angepassten Vorlagen, die gängige Authentifizierungsprozesse von Online-Banking und E-Commerce-Systemen nachahmen. Es kann in Echtzeit mit den Opfern interagieren, um OTP- und PhotoTAN-Codes zu stehlen und QR-Code-Login-Angriffe auf Dienste wie WhatsApp durchzuführen.
„Die Akteure haben mittlerweile eine Kundenbasis aufgebaut, die sich auf europäische Finanzinstitute konzentriert“, so Resecurity. „Es wird geschätzt, dass Hunderte von Cyberkriminellen dieses Kit nutzen, um Betrug zu begehen und die Bankkonten ihrer Opfer zu plündern.“