I ricercatori di Proofpoint stanno analizzando una campagna malware, nota come TA4557, che si basa su alcune strategie di social engineering alquanto sofisticate.
Stiamo parlando di un’operazione spear-phishing che prende di mira reclutatori e responsabili delle assunzioni di grandi aziende, diffondendo tra essi una pericolosa backdoor conosciuta come more_eggs.
Il tutto avviene attraverso l’invio di e-mail da parte di fantomatici candidati per posti di lavoro che, di fatto, inviano curriculum che si rivelano poi essere file malevoli. I metodi di diffusione adottati da TA4557, di fatto, agiscono aggirando i sistemi di filtraggio della posta elettronica, attirando i reclutatori su siti Web gestiti dai cybercriminali.
La campagna, rilevata per la prima volta da Proofpoint nell’ottobre 2023, comincia attraverso l’invio di un’e-mail del tutto normale, senza alcun tipo di link o allegato sospetto. Ciò consente ai criminali informatici di non destare alcun sospetto e di far abbassare la guardia ai reclutatori.
In caso di risposta, viene proposto il download di un curriculum dal presunto sito personale del candidato.
Le tecniche dei cybercriminali per spingere i reclutatori a scaricare il curriculum falso
L’astuzia dei cybercriminali sta proprio nell’evitare di inserire link diretti al proprio sito, rendendo di fatto impossibile per i sistemi di sicurezza bloccare tale operazione. Il dominio viene semplicemente riportato testualmente e appare verosimile, senza alcun carattere particolare o caratteristica che possa allarmare il reclutatore.
Una volta che il professionista viene portato sul sito, viene proposto il download del file ZIP, dopo il completamento di una richiesta CAPTCHA, anch’essa utile per rendere il tutto verosimile e, allo stesso tempo, per bloccare eventuali analisi da parte di strumenti di sicurezza.
Nel file ZIP finale è presente un file LNK spacciato per curriculum del candidato. Una volta avviato, questo attiva more_eggs con tutte le possibili conseguenze del caso.
Questa backdoor, nota anche come Golden Chickens, viene proposta con la formula malware-as-a-service (MaaS). Si tratta di un agente malevolo sfruttato da cybercriminali russe e i suoi primi utilizzi in campagne e-mail risalgono al 2017.