Kampanye email spear-phishing telah diamati menargetkan perekrut dengan pintu belakang JavaScript yang disebut More_eggs, yang menunjukkan upaya gigih untuk memilih sektor ini dengan kedok umpan pelamar kerja palsu.
“Iming-iming spear-phishing yang canggih menipu petugas perekrutan untuk mengunduh dan mengeksekusi file berbahaya yang disamarkan sebagai resume, yang menyebabkan infeksi pintu belakang more_eggs,” kata peneliti Trend Micro Ryan Soliven, Maria Emreen Viray, dan Fe Cureg dalam sebuah analisis.
More_eggs, dijual sebagai malware-as-a-service (MaaS), adalah perangkat lunak berbahaya yang dilengkapi dengan kemampuan untuk menyedot kredensial, termasuk yang terkait dengan rekening bank online, akun email, dan akun administrator TI.
Ini dikaitkan dengan aktor ancaman yang disebut kelompok Golden Chickens (alias Venom Spider), dan telah digunakan oleh beberapa kelompok e-crime lainnya seperti FIN6 (alias ITG08), Cobalt, dan Evilnum.
Awal bulan Juni ini, eSentire mengungkapkan rincian serangan serupa yang memanfaatkan LinkedIn sebagai vektor distribusi resume palsu yang dihosting di situs yang dikendalikan penyerang. File-file tersebut, pada kenyataannya, adalah file pintasan Windows (LNK) yang, setelah dibuka, memicu rangkaian infeksi.
Temuan terbaru dari Trend Micro menunjukkan sedikit penyimpangan dari pola yang diamati sebelumnya, yaitu pelaku ancaman mengirim email spear-phishing dalam upaya membangun kepercayaan dan mendapatkan kepercayaan diri mereka. Serangan itu terjadi pada akhir Agustus 2024, menargetkan pemimpin pencarian bakat yang bekerja di sektor teknik.
“Tak lama setelah itu, petugas perekrutan mengunduh resume yang diduga, John Cboins.zip, dari URL menggunakan Google Chrome,” kata para peneliti. “Tidak ditentukan dari mana pengguna ini mendapatkan URL tersebut. Namun, jelas dari aktivitas kedua pengguna bahwa mereka sedang mencari teknisi penjualan dalam.”
URL yang dimaksud, johncboins[.]com, berisi tombol “Unduh CV” untuk membujuk korban agar mengunduh file arsip ZIP yang berisi file LNK. Perlu dicatat bahwa rantai serangan yang dilaporkan oleh eSentire juga menyertakan situs identik dengan tombol serupa yang langsung mengunduh file LNK.
Mengklik dua kali file LNK menghasilkan eksekusi perintah yang dikaburkan yang mengarah pada eksekusi DLL berbahaya, yang, pada gilirannya, bertanggung jawab untuk menjatuhkan pintu belakang More_eggs melalui peluncur.
More_eggs memulai aktivitasnya dengan terlebih dahulu memeriksa apakah ia berjalan dengan hak admin atau pengguna, diikuti dengan menjalankan serangkaian perintah untuk melakukan pengintaian terhadap host yang disusupi. Ini kemudian menjadi server perintah dan kontrol (C2) untuk menerima dan mengeksekusi muatan malware sekunder.
Trend Micro mengatakan pihaknya mengamati variasi lain dari kampanye yang mencakup komponen PowerShell dan Visual Basic Script (VBS) sebagai bagian dari proses infeksi.
“Mengatribusikan serangan-serangan ini merupakan suatu tantangan karena sifat MaaS, yang memungkinkan dilakukannya outsourcing berbagai komponen serangan dan infrastruktur,” katanya. “Hal ini membuat sulit untuk menentukan pelaku ancaman tertentu, karena banyak kelompok dapat menggunakan perangkat dan infrastruktur yang sama yang disediakan oleh layanan seperti yang ditawarkan oleh Golden Chickens.”
Meski begitu, ada dugaan bahwa serangan itu mungkin dilakukan oleh FIN6, kata perusahaan tersebut, mengutip taktik, teknik, dan prosedur (TTP) yang digunakan.
Perkembangan ini terjadi beberapa minggu setelah HarfangLab menjelaskan PackXOR, pengemas pribadi yang digunakan oleh kelompok kejahatan dunia maya FIN7 untuk mengenkripsi dan mengaburkan alat AvNeutralizer.
Perusahaan keamanan siber Perancis tersebut mengatakan pihaknya mengamati paket yang sama digunakan untuk “melindungi muatan yang tidak terkait” seperti penambang mata uang kripto XMRig dan rootkit r77, sehingga meningkatkan kemungkinan bahwa paket tersebut juga dapat dimanfaatkan oleh pelaku ancaman lainnya.
“Pengembang PackXOR mungkin memang terhubung ke cluster FIN7, namun packer tersebut tampaknya digunakan untuk aktivitas yang tidak terkait dengan FIN7,” kata HarfangLab.