Malware DarkGate distribuído em ofertas falsas de emprego da Corsair no LinkedIn

malware-darkgate-distribuido-em-ofertas-falsas-de-emprego-da-corsair-no-linkedin

Cibercriminosos estão usando postagens falsas no LinkedIn e mensagens diretas sobre uma posição de especialista em anúncios do Facebook na fabricante de hardware Corsair para atrair pessoas a baixar malware que rouba informações, como DarkGate e RedLine.

LinkedIn sendo usado para distribuir malware DarkGate

A empresa de segurança cibernética WithSecure detectou e rastreou a atividade do grupo, mostrando em um relatório que ele está ligado a grupos cibercriminosos vietnamitas responsáveis pelas campanhas Ducktail detectadas pela primeira vez no ano passado.

Essas campanhas visam roubar contas comerciais valiosas do Facebook que podem ser usadas para malvertising ou vendidas a outros cibercriminosos. O DarkGate foi detectado pela primeira vez em 2017, mas sua implantação permaneceu limitada até junho de 2023, quando seu autor decidiu vender o acesso ao malware para um público maior.

Exemplos recentes do uso do DarkGate incluem ataques de phishing por meio do Microsoft Teams que empurram a carga útil e aproveitam contas comprometidas do Skype para enviar scripts VBS para acionar uma cadeia de infecção que leva ao malware.

malware-darkgate-distribuido-em-ofertas-falsas-de-emprego-da-corsair-no-linkedin

Isca Corsair

Os agentes de ameaças vietnamitas visaram principalmente utilizadores nos EUA, no Reino Unido e na Índia, que ocupam cargos de gestão de redes sociais e provavelmente terão acesso a contas empresariais do Facebook. A isca é entregue pelo LinkedIn e envolve uma oferta de emprego na Corsair. 

Os alvos são induzidos a baixar arquivos maliciosos de um URL (“g2[.]by/corsair-JD”) que redireciona para o Google Drive ou Dropbox para soltar um arquivo ZIP (“Salário e novos produtos.8.4.zip”) com um PDF ou documento DOCX e um arquivo TXT.

Os pesquisadores do WithSecure analisaram os metadados dos arquivos acima e encontraram pistas para a distribuição do ladrão RedLine. O arquivo baixado contém um script VBS, possivelmente incorporado no arquivo DOCX, que copia e renomeia ‘curl.exe’ para um novo local e o aproveita para baixar ‘autoit3.exe’ e um script Autoit3 compilado.

O executável inicia o script, e este se desobstrui e constrói o DarkGate usando strings presentes no script. Trinta segundos após a instalação, o malware tenta desinstalar produtos de segurança do sistema comprometido, indicando a existência de um processo automatizado.

O LinkedIn introduziu recursos para combater abusos na plataforma no final do ano passado que podem ajudar os usuários a determinar se uma conta é suspeita ou falsa. No entanto, cabe aos usuários verificar as informações verificadas antes de iniciar a comunicação com uma nova conta. 

WithSecure lançou uma lista de indicadores de comprometimento (IoCs) que podem ajudar as organizações a se defenderem contra atividades desse ator de ameaça. Os detalhes incluem endereços IP, domínios usados, URLs, metadados de arquivos e nomes de arquivos.