Un attore minaccioso sta utilizzando post e messaggi diretti falsi su LinkedIn riguardanti una posizione di specialista di Facebook Ads presso il produttore di hardware Corsair per attirare le persone a scaricare malware come DarkGate e RedLine.
L’azienda di cybersecurity WithSecure ha rilevato l’attività e ha tracciato l’attività del gruppo, mostrando in un rapporto oggi che è collegato a gruppi di cybercriminali vietnamiti responsabili delle campagne ‘Ducktail’ individuate per la prima volta l’anno scorso. Queste campagne mirano a rubare preziosi account aziendali di Facebook che possono essere utilizzati per malvertising o venduti ad altri cybercriminali.
DarkGate e la sua storia
DarkGate è stato individuato per la prima volta nel 2017, ma il suo dispiegamento è rimasto limitato fino a giugno 2023, quando il suo autore ha deciso di vendere l’accesso al malware a un pubblico più ampio. Esempi recenti dell’uso di DarkGate includono attacchi di phishing tramite Microsoft Teams che spingono il payload e sfruttano account Skype compromessi per inviare script VBS che innescano una catena di infezione che porta al malware.
La trappola di Corsair
Gli attori minacciosi vietnamiti hanno preso di mira principalmente utenti negli Stati Uniti, nel Regno Unito e in India, che ricoprono posizioni di gestione dei social media e sono probabilmente in possesso di account aziendali di Facebook. La trappola viene consegnata su LinkedIn e coinvolge un’offerta di lavoro presso Corsair. Le vittime vengono ingannate nel scaricare file dannosi da un URL che reindirizza a Google Drive o Dropbox per scaricare un file ZIP con un documento PDF o DOCX e un file TXT con i seguenti nomi:
- Descrizione del lavoro di Corsair.docx
- Stipendio e nuovi prodotti.txt
- PDF Stipendio e Prodotti.pdf
I ricercatori di WithSecure hanno analizzato i metadati dei file sopra indicati e hanno trovato collegamenti alla distribuzione del stealer RedLine. L’archivio scaricato contiene uno script VBS, possibilmente incorporato nel file DOCX, che copia e rinomina ‘curl.exe’ in una nuova posizione e lo sfrutta per scaricare ‘autoit3.exe’ e uno script Autoit3 compilato.
Misure di sicurezza
Trenta secondi dopo l’installazione, il malware tenta di disinstallare i prodotti di sicurezza dal sistema compromesso, indicando l’esistenza di un processo automatizzato. LinkedIn ha introdotto funzionalità per combattere gli abusi sulla piattaforma alla fine dello scorso anno che possono aiutare gli utenti a determinare se un account è sospetto o falso. Tuttavia, spetta agli utenti controllare le informazioni verificate prima di impegnarsi nella comunicazione con un nuovo account. WithSecure ha rilasciato un elenco di indicatori di compromissione (IoC) che potrebbero aiutare le organizzazioni a difendersi dall’attività di questo attore minaccioso.