Специалисты Proofpoint зафиксировали вредоносную кампанию по распространению JavaScript-бэкдора More_eggs. Злоумышленники используют фальшивые предложения о работе, чтобы заставить получателя перейти по зараженной ссылке или открыть файл с внедренным скриптом. Как выяснили эксперты, киберпреступники строят атаку в несколько этапов, пытаясь войти в доверие к жертве.

Нападение начинается с просьбы о включении в список подписчиков на LinkedIn. По информации исследователей, злоумышленники маскируются под сотрудника HR-службы, используя фальшивый аккаунт в деловой социальной сети, и сообщают жертве о подходящей для нее вакансии. В течение недели киберпреступники напоминают о себе обычным электронным письмом, содержащим вредоносное вложение или ссылку.

Мошенники используют различные варианты доставки полезной нагрузки. Это может быть документ Word с внедренным макросом, который приложен к письму, или PDF-файл со ссылкой на вредоносный ресурс. Иногда адрес целевой страницы содержится в тексте послания. Сайт киберпреступников имитирует легитимный ресурс рекрутинговой компании и пытается загрузить на компьютер посетителя документ с внедренным установщиком зловреда или JavaScript-сценарий.

Во всех случаях в качестве полезной нагрузки выступает бэкдор More_eggs, способный также доставлять на зараженное устройство другие файлы и выполнять их. Как выяснили ИБ-специалисты, для создания вредоносных документов киберпреступники применяют два тулкита, продающихся в дарквебе, — Taurus Builder и VenomKit. Обе утилиты обходят защиту службы диспетчера подключений CMSTP, однако последняя эксплуатирует еще ряд уязвимостей, включая давнюю брешь Microsoft Office, пропатченную в 2017 году.

More_eggs ранее использовали в кампании криминальной группировки Cobalt: в августе прошлого года он выступал в качестве загрузчика дополнительных модулей при атаках на финансовые учреждения. По мнению экспертов, целью злоумышленников были банки «Национальный стандарт» и Banca Comercială Carpatica.

Категории: Вредоносные программы, Мошенничество