O ataque de phishing comum usa uma técnica em que os fraudadores criam um clone de algum site confidencial, como um site de banco online, e tentam enganar as pessoas para que façam login. Não importa se algumas pessoas são inteligentes o suficiente para detectar e evitar a fraude. Alguém está distraído suficiente para se conectar.
Com as credenciais de login capturadas, eles têm poder total sobre a conta comprometida. O recente ataque de phishing no LinkedIn não foi nada parecido com isso. Antes de suas tentativas de se transformar em um site de mídia social completo, o LinkedIn se concentrava quase que inteiramente em fazer conexões e encontrar empregos.
Esse contato de alta importância que não respondeu aos seus e-mails pode se tornar mais responsivo após uma apresentação pessoal de um amigo em comum. E colocar seu currículo e experiência no LinkedIn significa que as pessoas podem encontrá-lo para fazer contatos ou até mesmo ofertas de emprego. Essa é a expectativa que os ataques recentes têm como alvo.
Odeio dizer isso, mas quem procura emprego é um grupo-alvo perfeito. Com a agitação da pandemia, mais pessoas do que nunca estão procurando emprego. Alguns estão desesperados. Uma oferta de emprego, mesmo de origem desconhecida, pode parecer uma dádiva de Deus. E uma conexão aparente com o LinkedIn torna a oferta ainda mais tentadora.
Ataque de malware sofisticado no Linkedin
Pesquisadores da Unidade de Resposta a Ameaças (TRU) do provedor de segurança eSentire deram a notícia de que um grupo de hackers está visando profissionais com ofertas de emprego falsas por meio do LinkedIn. Os e-mails baseiam-se no perfil de cada vítima para criar uma oferta convincente e personalizada.
Esse tipo de ataque direcionado é chamado de spear phishing e é muito mais difícil de detectar do que a técnica de spray e oração descrita acima. O último pode empurrar um link de banco Wells Fargo para uma enorme horda de consumidores, a maioria dos quais nem mesmo tem uma conta Wells Fargo. Um ataque de spear phishing é dirigido a você e contém informações pessoais, diferentes para cada alvo.
O que acontece se você cair no golpe? A abertura da oferta de emprego aciona uma série de eventos que acabam instalando um processo de malware denominado more_eggs. Não há nenhum arquivo malicioso para ser detectado por um antivírus.
Toda a ação ocorre subvertendo os processos normais do Windows e executando scripts na memória. Para aqueles na indústria, a postagem do blog eSentire com link acima detalha exatamente quais processos estão envolvidos e como sua segurança é violada.
Uma vez instalado no sistema da vítima, o processo more_eggs verifica periodicamente em seu site de Comando e Controle, aguardando ordens. O que ele teria feito é desconhecido, pois a equipe eSentire TRU interrompeu o sistema de ataque ao descobri-lo.
De acordo com o blog ThreatPost, os ataques anteriores de more_eggs foram usados para “violar os sistemas de pagamentos online de empresas de varejo, entretenimento e farmacêuticas”. O grupo Golden Chickens planejava alugar os PCs das vítimas em uma espécie de esquema de malware como serviço, para que pudesse ser usado para quase todos os fins nefastos.
Defesa sofisticada contra malware
Dado que more_eggs não está presente no sistema de arquivos, é mesmo possível para um utilitário antivírus se defender contra ele? As respostas foram tranquilizadoras.
“Ofertas de emprego falsas que apontam para links falsos ou anexos maliciosos não são novidade no LinkedIn”, disse Philippe Broccard, gerente de produto sênior da Vipre Security. “O aumento de perfis falsos no LinkedIn tornou esta plataforma extremamente insegura.”
Ele observou que, embora o malware more_eggs em si não tenha arquivo, ele usa um arquivo ZIP manipulado para entrar no sistema, declarando que ele “esperaria que o Vipre o pegasse” naquele ponto. Broccard apontou que o ataque representa “um sério risco para qualquer organização financeira” e sugeriu que qualquer organização poderia se beneficiar de um treinamento de conscientização de segurança.
“De acordo com as informações que estou vendo, o vetor de infecção é um anexo de e-mail ZIP que contém um arquivo LNK que desencadeia o ataque sem arquivos”, disse Pedro Bustamante, VP de Pesquisa e Inovação da Malwarebytes. “Isso seria interrompido por nossa tecnologia anti-exploit sem assinatura, como parte de seu componente de ‘controle e proteção de aplicativos’, que evitaria que os clientes de e-mail gerassem o comando sem arquivos.”
De acordo com Denis Parinov, um especialista em segurança da Kaspersky, “o software malicioso descrito é conhecido há muito tempo, e o backdoor denominado more_eggs foi usado por vários agentes de ameaças em momentos diferentes.
Ao mesmo tempo, ataques a usuários do LinkedIn envolvendo um esquema semelhante e o malware desta família têm sido detectados periodicamente, pelo menos desde 2018, com pequenas alterações. Nossos produtos detectam todos os componentes usados em tais ataques. ”
Não caia no Spear Phishing
É muito difícil saber se um determinado e-mail é uma oferta de emprego legítima ou um spear-phishing falso. Não é como o ataque de phishing não direcionado mais comum, que oferece muitas pistas. Se você tiver a menor suspeita de que uma oferta de emprego pode ser uma fraude de phishing, pode verificar com a Central de Segurança do LinkedIn.
Se você não tiver certeza, encaminhe a mensagem para [email protected] ou use o formulário de relatório de possível golpe. Melhor relatar uma oferta de emprego válida com excesso de cautela do que ser enganado por uma falsa e maliciosa.