Акторы используют поддельные сообщения на LinkedIn и прямые сообщения о вакансии специалиста по рекламе на Facebook в компании Corsair, чтобы заманить людей на загрузку вредоносных программ, похищающих информацию, таких как DarkGate и RedLine. Компания WithSecure, специализирующаяся на кибербезопасности, обнаружила эту активность и отследила деятельность группы, показав в сегодняшнем отчете, что она связана с вьетнамскими киберпреступными группами, ответственными за кампании "Ducktail", впервые замеченные в прошлом году. Эти кампании направлены на кражу ценных бизнес-аккаунтов Facebook, которые могут быть использованы для вредоносной рекламы или проданы другим киберпреступникам. Впервые DarkGate был замечен в 2017 году, но его развертывание оставалось ограниченным до июня 2023 года, когда его автор решил продать доступ к вредоносной программе более широкой аудитории. Среди недавних примеров использования DarkGate - фишинговые атаки через Microsoft Teams с рассылкой полезной нагрузки, а также использование взломанных учетных записей Skype для отправки VBS-скриптов, запускающих цепочку заражения, ведущую к появлению вредоносной программы. Приманка Corsair Целью вьетнамских злоумышленников были в основном пользователи из США, Великобритании и Индии, занимающие руководящие должности в социальных сетях и, скорее всего, имеющие доступ к бизнес-аккаунтам Facebook. Заманивание осуществляется через LinkedIn и заключается в предложении работы в компании Corsair. Цели обманом загружают вредоносные файлы с URL-адреса ("g2[.]by/corsair-JD"), который перенаправляет на Google Drive или Dropbox, где находится ZIP-файл ("Salary and new products.8.4.zip") с документом в формате PDF или DOCX и TXT-файлом со следующими именами: Job Description of Corsair.docx Salary and new products.txt PDF Salary and Products.pdf Исследователи WithSecure проанализировали метаданные указанных файлов и обнаружили зацепки для распространения RedLine stealer. Загружаемый архив содержит VBS-скрипт, возможно, встроенный в DOCX-файл, который копирует и переименовывает файл 'curl.exe' в новое место и использует его для загрузки файла 'autoit3.exe' и скомпилированного скрипта Autoit3. Исполняемый файл запускает скрипт, а тот деобфусцирует себя и конструирует DarkGate, используя строки, присутствующие в скрипте. Через 30 секунд после установки вредоносная программа пытается удалить продукты безопасности со скомпрометированной системы, что свидетельствует о наличии автоматизированного процесса. В конце прошлого года LinkedIn представила функции для борьбы со злоупотреблениями в платформе, которые могут помочь пользователям определить, является ли учетная запись подозрительной или поддельной. Тем не менее, прежде чем вступать в коммуникацию с новым аккаунтом, пользователи должны сами проверить проверенную информацию. Компания WithSecure опубликовала список индикаторов компрометации (IoC), которые могут помочь организациям защититься от действий этого угрожающего агента. В список включены IP-адреса, используемые домены, URL-адреса, метаданные файлов и имена архивов. 20.10.2023 https://www.bleepingcomputer.com/ne...job-offers-on-linkedin-push-darkgate-malware/ Перевод: deepl.com/translator