Ψεύτικες προσφορές εργασίας της Corsair στο LinkedIn προωθούν το κακόβουλο λογισμικό DarkGate

Ένας δράστης απειλών χρησιμοποιεί ψεύτικες αναρτήσεις στο LinkedIn και άμεσα μηνύματα σχετικά με μια θέση ειδικού στις διαφημίσεις στο Facebook στην εταιρεία κατασκευής υλικού Corsair για να παρασύρει τους χρήστες να κατεβάσουν κακόβουλο λογισμικό που κλέβει πληροφορίες, όπως το DarkGate και το RedLine.

Η εταιρεία κυβερνοασφάλειας WithSecure εντόπισε και παρακολούθησε τη δραστηριότητα της ομάδας, δείχνοντας σε σημερινή έκθεση ότι συνδέεται με βιετναμέζικες ομάδες κυβερνοεγκληματιών που είναι υπεύθυνες για τις εκστρατείες "Ducktail" που εντοπίστηκαν για πρώτη φορά πέρυσι. Οι εκστρατείες αυτές έχουν ως στόχο την κλοπή πολύτιμων επαγγελματικών λογαριασμών στο Facebook, οι οποίοι μπορούν να χρησιμοποιηθούν για κακόβουλη διαφήμιση ή να πωληθούν σε άλλους εγκληματίες του κυβερνοχώρου.

Το DarkGate εντοπίστηκε για πρώτη φορά το 2017, αλλά η ανάπτυξή του παρέμεινε περιορισμένη μέχρι τον Ιούνιο του 2023, όταν ο δημιουργός του αποφάσισε να πουλήσει την πρόσβαση στο κακόβουλο λογισμικό σε μεγαλύτερο κοινό. Πρόσφατα παραδείγματα χρήσης του DarkGate περιλαμβάνουν επιθέσεις phishing μέσω του Microsoft Teams που μεταφέρουν το "φορτίο" και την αξιοποίηση παραβιασμένων λογαριασμών Skype για την αποστολή σεναρίων VBS για την ενεργοποίηση μιας αλυσίδας μόλυνσης που οδηγεί στο κακόβουλο λογισμικό.

Το Δόλωμα της Corsair

Οι Βιετναμέζοι φορείς απειλών στόχευσαν κυρίως χρήστες στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ινδία, οι οποίοι κατέχουν θέσεις διαχείρισης κοινωνικών μέσων και είναι πιθανό να έχουν πρόσβαση σε επαγγελματικούς λογαριασμούς στο Facebook. Το δέλεαρ παραδίδεται μέσω του LinkedIn και περιλαμβάνει μια προσφορά εργασίας στην Corsair. Οι στόχοι εξαπατώνται για να κατεβάσουν κακόβουλα αρχεία από μια διεύθυνση URL("g2[.]by/corsair-JD") που ανακατευθύνει στο Google Drive ή στο Dropbox για την ανάκτηση ενός αρχείου ZIP ("Salary and new products.8.4.zip") με ένα έγγραφο PDF ή DOCX και ένα αρχείο TXT με τα ακόλουθα ονόματα:

• Job Description of Corsair.docx
• Salary and new products.txt
• PDF Salary and Products.pdf

Οι ερευνητές του WithSecure ανέλυσαν τα μεταδεδομένα για τα παραπάνω αρχεία και βρήκαν στοιχεία που οδηγούν στη διανομή του RedLine stealer. Το αρχείο που κατεβάστηκε περιέχει ένα σενάριο VBS, πιθανώς ενσωματωμένο στο αρχείο DOCX, το οποίο αντιγράφει και μετονομάζει το 'curl.exe' σε μια νέα τοποθεσία και το αξιοποιεί για να κατεβάσει το 'autoit3.exe' και ένα μεταγλωττισμένο σενάριο Autoit3. Το εκτελέσιμο αρχείο εκκινεί τη δέσμη ενεργειών, και η τελευταία "αποσυντίθεται" και κατασκευάζει το DarkGate χρησιμοποιώντας συμβολοσειρές που υπάρχουν στη δέσμη ενεργειών. Τριάντα δευτερόλεπτα μετά την εγκατάσταση, το κακόβουλο λογισμικό επιχειρεί να απεγκαταστήσει προϊόντα ασφαλείας από το παραβιασμένο σύστημα, υποδεικνύοντας την ύπαρξη μιας αυτοματοποιημένης διαδικασίας.

Το LinkedIn εισήγαγε χαρακτηριστικά για την καταπολέμηση της κατάχρησης στην πλατφόρμα στα τέλη του περασμένου έτους, τα οποία μπορούν να βοηθήσουν τους χρήστες να προσδιορίσουν αν ένας λογαριασμός είναι ύποπτος ή ψεύτικος. Ωστόσο, εναπόκειται στους χρήστες να ελέγχουν τις επαληθευμένες πληροφορίες πριν εμπλακούν σε επικοινωνία με έναν νέο λογαριασμό.

Η WithSecure δημοσίευσε έναν κατάλογο δεικτών παραβίασης (IoCs - indicators of compromise) που θα μπορούσαν να βοηθήσουν τους οργανισμούς να αμυνθούν κατά της δραστηριότητας αυτού του παράγοντα απειλής. Τα στοιχεία περιλαμβάνουν διευθύνσεις IP, τομείς που χρησιμοποιούνται, διευθύνσεις URL, μεταδεδομένα αρχείων και ονόματα αρχείων.