Un grupo, conocido como Golden Chicken, está llevando a cabo ataques aprovechándose de la red social LinkedIn dando a conocer ofertas de trabajo falsas y cuyo único objetivo es infectarles con troyanos tipo puerta trasera (backdoor).
Según explica eSentire, los atacantes envían un archivo zip malicioso utilizando el puesto de trabajo que figura en el perfil de LinkedIn del objetivo. Es decir, si eres un Ejecutivo de cuentas sénior, el archivo zip malicioso se llamaría “Ejecutivo de cuentas sénior position”.
Si se abre este archivo, la víctima, sin saberlo, inicia la instalación de una puerta trasera denominada more_eggs. Una vez cargada, esta puerta trasera puede descargar otros archivos maliciosos y facilitar el acceso al ordenador de la víctima.
Malware como Servicio
El grupo que está detrás de more_eggs es Golden Chickens y, según explica eSentire, se dedica a vender esta puerta trasera como malware como servicio (MaaS) a otros ciberdelincuentes. Una vez que more_eggs está en el sistema informático de la víctima, los “clientes” de Golden Eggs pueden infectar la máquina con cualquier tipo de malware.
Lo más peligroso de este ataque es el hecho de que el malware se ejecuta en modo sigiloso y utiliza procesos normales de Windows para ejecutarse. Esto podría hacer que ni siquiera que el programa antivirus de lo detecte.
Cabe señalar, no obstante, que quienes han descubierto este ataque aseguran también que las campañas que utilizan MaaS no parecen muy numerosas y que, además, son selectivas. En cualquier caso, se tiene constancia forense de que este malware como servicio ha sido utilizado por tres grupos: FIN6, Cobalt Group y Evilnum.
Unos “viejos conocidos”
Estos tres grupos organizados son “viejos conocidos” en el mundo de la seguridad. FIN6 es un grupo de delitos informáticos financieros que principalmente roba datos de tarjetas de pago y los vende en mercados clandestinos.
Mientras, Evilnum es más conocido por comprometer a las empresas de tecnología financiera, empresas que proporcionan plataformas y herramientas de negociación de acciones. Su objetivo es la información financiera sobre las empresas fintech y sus clientes.
Por su parte, The Cobalt Group es conocido por perseguir a las empresas financieras, y ha utilizado en varias ocasiones la puerta trasera more_eggs en sus ataques.
Parece que de momento el grupo profesional más afectado por este ataque podría ser aquel que trabaje en la industria de la tecnología de la salud.
En cualquier caso, no es la primera vez que se tiene constancia de este tipo de ataques, ya que en febrero de 2019 también se detectó una campaña similar, pero dirigido al sector retail de Estados Unidos. Los mensajes se enviaban a través de la mensajería de LinkedIn.
Fuente: xataka.com
Foto: xataka.com