Grupo envia e-mail direto a recrutadores para liberar malware

Da Redação
13/12/2023

O TA4557, um grupo de hackers rastreado desde 2018 por enviar ameaças de e-mail com tema de trabalho, está utilizando uma nova técnica de segmentação que envolve o envio de e-mails diretamente a recrutadores que, em última análise, descartam malware, de acordo com a Proofpoint.

O operador de ameaças, conhecido por usar o More_eggs como conta-gotas de malware, anteriormente só recorria a vagas anunciadas em quadros de empregos públicos ou postagens no LinkedIn para inserir URLs maliciosos no aplicativo. Desde outubro, no entanto, o TA4557 tem sido observado enviando e-mails diretamente aos empregadores em busca de candidatos para várias funções.

“Em campanhas observadas recentemente, o TA4557 usou tanto o novo método de enviar e-mails diretamente aos recrutadores quanto a técnica mais antiga de se candidatar a empregos anunciados em quadros de empregos públicos para iniciar a cadeia de ataque”, disse a Proofpoint em um post no seu blog corporativo.

Dentro da nova técnica, o invasor primeiro envia ao recrutador um e-mail para perguntar sobre uma vaga de emprego. Uma vez que este responde a mensagem, o operador do TA4557 retorna com um URL vinculado a um site controlado por ele em que está o currículo falso do candidato. “Alternativamente, o operador da ameaça foi observado respondendo com um PDF ou anexo do Word contendo instruções para visitar o site de currículos falsos”, acrescentou a Proofpoint na postagem.

No início de novembro, a empresa de cibersegurança observou o TA4557 orientando o destinatário, no e-mail inicial, a “consultar o nome de domínio do endereço de e-mail para acessar meu portfólio”, em vez de enviar diretamente a URL do site com o currículo na resposta, de acordo com a postagem no blog. Essa foi provavelmente mais uma tentativa de evitar a detecção automática de domínios suspeitos, diz a Proofpoint.

A vítima em potencial, ao visitar o “site pessoal”, conforme orientado pelo operador da ameaça, é apresentada a uma página com um currículo falso de candidato, que filtra o usuário após a visita e decide se deve enviá-lo para a próxima etapa do ataque.

Os usuários que passam nas verificações de filtragem são posteriormente enviados para o “site do candidato” que, após a conclusão, inicia o download de um arquivo zip contendo um arquivo de atalho LNK. O LNK explora funções legítimas no “ie4uinit.exe”, programa utilitário da Microsoft, para baixar e executar um scriptlet de um local em outro arquivo “ie4uinit.inf” no zip.

“Essa técnica de ataque é chamada de living off the land (LotL, ou vivendo fora da terra, em tradução livre)”, disse Proofpoint.  “O scriptlet descriptografa e descarta uma DLL na pasta %APPDATA%\Microsoft. A DLL emprega técnicas anti-sandbox e anti-análise para evasão e deixa cair a backdoor More_Eggs.”

Veja isso
Malware do grupo Lazarus tem como alvo software legítimo
Apps maliciosos de empréstimo fraudam usuários do Android

O More_eggs é uma backdoor Javascript usada para estabelecer persistência, criar o perfil da máquina e descartar cargas adicionais. O TA4557 é rastreado desde 2018 como um operador de ameaças qualificado, cujo objetivo é obter ganhos financeiros usando a backdoor, que capaz de criar o perfil do endpoint e enviar cargas adicionais.

A Proofpoint observou na postagem do blog que verificou um aumento de operadores de ameaças usando mensagens benignas para criar confiança e se envolver com um alvo antes de enviar o conteúdo malicioso, e o TA4557 adotando essa técnica deve fazer com que as organizações que usam anúncios de emprego de terceiros fiquem atentas às táticas, técnicas e procedimentos (TTPs) desse operador de ameaças.

Para ter acesso ao post, em inglês, no blog corporativo da Proofpoint, clique aqui.

Compartilhar: