Se ha observado una campa\u00f1a de correo electr\u00f3nico de phishing dirigido a reclutadores con una puerta trasera de JavaScript llamada More_eggs, lo que indica esfuerzos persistentes para se\u00f1alar el sector bajo la apariencia de se\u00f1uelos falsos para solicitantes de empleo.<\/p>\n
“Un sofisticado se\u00f1uelo de phishing enga\u00f1\u00f3 a un oficial de reclutamiento para que descargara y ejecutara un archivo malicioso disfrazado de curr\u00edculum, lo que provoc\u00f3 una infecci\u00f3n de puerta trasera more_eggs”, afirman los investigadores de Trend Micro Ryan Soliven, Maria Emreen Viray y Fe Cureg. dicho<\/a> en un an\u00e1lisis.<\/p>\n More_eggs, vendido como malware como servicio (MaaS), es un software malicioso que viene con capacidades para desviar credenciales, incluidas aquellas relacionadas con cuentas bancarias en l\u00ednea, cuentas de correo electr\u00f3nico y cuentas de administrador de TI.<\/p>\n Se atribuye a un actor de amenazas llamado grupo Golden Chickens (tambi\u00e9n conocido como Venom Spider) y ha sido utilizado por varios otros grupos de delitos electr\u00f3nicos como FIN6 (tambi\u00e9n conocido como Venom Spider). ITG08<\/a>), Cobalto y Evilnum.<\/p>\n A principios de junio, eSentire revel\u00f3 detalles de un ataque similar que aprovecha LinkedIn como vector de distribuci\u00f3n de curr\u00edculums falsos alojados en un sitio controlado por un atacante. Los archivos, en realidad, son archivos de acceso directo de Windows (LNK) que, al abrirse, desencadenan la secuencia de infecci\u00f3n.<\/p>\n Los \u00faltimos hallazgos de Trend Micro marcan una ligera desviaci\u00f3n del patr\u00f3n observado anteriormente en el sentido de que los actores de la amenaza enviaron un correo electr\u00f3nico de phishing en un probable intento de generar confianza y ganarse su confianza. El ataque se observ\u00f3 a finales de agosto de 2024 y tuvo como objetivo un l\u00edder de b\u00fasqueda de talentos que trabajaba en el sector de la ingenier\u00eda.<\/p>\n “Poco despu\u00e9s, un oficial de reclutamiento descarg\u00f3 un supuesto curr\u00edculum, John Cboins.zip, de una URL usando Google Chrome”, dijeron los investigadores. “No se determin\u00f3 de d\u00f3nde obtuvo este usuario la URL. Sin embargo, de las actividades de ambos usuarios qued\u00f3 claro que estaban buscando un ingeniero de ventas interno”.<\/p>\n La URL en cuesti\u00f3n, johncboins[.]com, contiene un bot\u00f3n “Descargar CV” para incitar a la v\u00edctima a descargar un archivo ZIP que contiene el archivo LNK. Vale la pena se\u00f1alar que la cadena de ataque reportada por eSentire tambi\u00e9n incluye un sitio id\u00e9ntico con un bot\u00f3n similar que descarga directamente el archivo LNK.<\/p>\n Al hacer doble clic en el archivo LNK, se ejecutan comandos ofuscados que conducen a la ejecuci\u00f3n de una DLL maliciosa que, a su vez, es responsable de eliminar la puerta trasera More_eggs a trav\u00e9s de un iniciador.<\/p>\n More_eggs comienza sus actividades verificando primero si se est\u00e1 ejecutando con privilegios de administrador o usuario, y luego ejecuta una serie de comandos para realizar un reconocimiento del host comprometido. Posteriormente, se dirige a un servidor de comando y control (C2) para recibir y ejecutar cargas \u00fatiles de malware secundario.<\/p>\n Trend Micro dijo que observ\u00f3 otra variaci\u00f3n de la campa\u00f1a que incluye componentes PowerShell y Visual Basic Script (VBS) como parte del proceso de infecci\u00f3n.<\/p>\n “Atribuir estos ataques es un desaf\u00edo debido a la naturaleza de MaaS, que permite la subcontrataci\u00f3n de varios componentes e infraestructura de ataque”, dijo. “Esto hace que sea dif\u00edcil identificar a los actores de amenazas espec\u00edficos, ya que varios grupos pueden utilizar los mismos conjuntos de herramientas e infraestructura proporcionada por servicios como los que ofrece Golden Chickens”.<\/p>\n Dicho esto, se sospecha que el ataque podr\u00eda haber sido obra de FIN6, se\u00f1al\u00f3 la compa\u00f1\u00eda, citando las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) empleados.<\/p>\n El desarrollo se produce semanas despu\u00e9s de que HarfangLab arrojara luz sobre PackXOR, un empaquetador privado utilizado por el grupo de cibercrimen FIN7 para cifrar y ofuscar la herramienta AvNeutralizer.<\/p>\n La firma francesa de ciberseguridad dijo que observ\u00f3 que se utilizaba el mismo empaquetador para “proteger cargas \u00fatiles no relacionadas”, como el minero de criptomonedas XMRig y el rootkit r77, lo que plantea la posibilidad de que otros actores de amenazas tambi\u00e9n puedan aprovecharlo.<\/p>\n “Es posible que los desarrolladores de PackXOR est\u00e9n conectados al cl\u00faster FIN7, pero el empaquetador parece usarse para actividades que no est\u00e1n relacionadas con FIN7”, HarfangLab dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Las-solicitudes-de-empleo-falsas-envian-el-peligroso-malware-More_eggs.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n