Cyberkriminella riktar sig till arbetssökande i USA och Nya Zeeland för att distribuera Cobalt Strike-fyrar, men även andra virus och skadlig programvara (öppnas i en ny flik).
Cisco Talos-forskare hävdar att en okänd hotaktör skickar flera e-postnätfiske-lurar, förutsatt att identiteten (öppnas i en ny flik) för US Office of Personal Management (OPM), såväl som Public Services Association of New Zealand (PSA) . ).
E-postmeddelandet ber offret att ladda ner och köra ett bifogat Word-dokument, och hävdar att det innehåller mer information om jobbtillfället.
fjärrkörning av kod
Dokumentet innehåller makron som, om de körs, utnyttjar en sårbarhet som kallas CVE-2017-0199, ett fel vid fjärrkörning av kod som korrigerades i april 2017. Körning av makrot gör att Word laddar ner en dokumentmall från ett arkiv från Bitbucket. Modellen kör sedan en serie Visual Basic-skript som i sin tur laddar ner en DLL-fil som heter "newmodeler.dll". Denna DLL är faktiskt en Cobalt Strike beacon.
Det finns också en annan mindre komplicerad distributionsmetod där skadlig programvara hämtas direkt från Bitbucket.
Med hjälp av en Cobalt Strike-fyr kan hotaktörer på distans utföra olika kommandon på den komprometterade slutpunkten, stjäla data och röra sig i sidled genom nätverket, kartlägga det och hitta känsligare data.
Forskarna säger att beacons kommunicerar med en Ubuntu-server, värd för Alibaba och baserad i Nederländerna. Innehåller två giltiga självsignerade SSL-certifikat.
Cisco har inte nämnt hotaktörerna bakom denna kampanj, men det finns ett framstående namn som har varit inblandat i många falska arbetskampanjer den senaste tiden, och det är Lazarus Group.
Den ökända nordkoreanska statssponsrade hotaktören riktar sig mot blockkedjeutvecklare, artister som arbetar på icke-fungibla tokens (NFT), såväl som flygexperter och politiska journalister med falska jobb, stjäl kryptovaluta och värdefull information. .
Via: BleepingComputer (öppnas i en ny flik)