یک گروه از مجرمان سایبری موسوم به «مرغ‌های طلایی» (Golden Chickens) تروجانی به نام «تخم‌مرغ‌های بیشتر» (more_eggs) ایجاد کرده است که نوعی در پشتی بدون فایل است. آنها این بدافزار را به سایر مجرمان می‌فروشند. اکنون گروهی از مجرمان سایبری با استفاده از این بدافزار مشغول فیشینگ هدفمند روی کاربران لینکدین هستند. این کمپین که از پیشنهادهای شغلی کاذب برای فیشینگ استفاده می‌کند، توسط محققان شرکت امنیتی eSentire کشف شده است.

ایمیل‌های فیشینگ این کمپین سعی می‌کنند قربانی را به کلیک کردن روی یک فایل مخرب .ZIP ترغیب کنند. اعضای این کمپین عنوان شغلی فعلی قربانی را می‌گیرند و کلمه “position” (موقعیت کاری) را به آخر آن اضافه می‌کنند تا پیشنهاد کاری، واقعی به نظر برسد.

برای مثال اگر یک عضو لینکدین دارای عنوان شغلی ‘Senior Account Executive—International Freight’ باشد، عنوان فایل .ZIP مخرب عبارت خواهد بود از ‘Senior Account Executive—International Freight position’. قربانی با باز کردن پیشنهاد شغلی جعلی، نادانسته فرایند نصب مخفیانه در پشتی را اجرا می‌کند.

بدافزار more_eggs پس از دانلود شدن می‌تواند بدافزارهای بیشتری را دانلود کند و دسترسی به سیستم قربانی را فراهم کند. «مرغ‌های طلایی»، «تخم‌مرغ‌های بیشتر» را به عنوان یک سرویس به سایر تبهکاران سایبری نیز می‌فروشند. این تبهکاران نیز از آن برای کسب دسترسی به سیستم قربانی و نصب بدافزارهای دیگر مثل بدافزارهای بانکی، ربایندگان اعتبارنامه و باج افزارها استفاده می‌کنند یا ممکن است آن را تنها برای خارج کردن داده به کار برند.

یک تهدید ترسناک

Rob McLeod مدیر واحد واکنش به تهدیدات eSentire، به سه جنبه تروجان more_eggs اشاره می‌کند که آن را به «تهدید مهیبی برای کسب و کارها و متخصصان» تبدیل می‌کنند:

اول، این تروجان از پردازه‌های عادی ویندوز برای گریز از ضدویروس استفاده می‌کند. دوم، ایمیل‌های فیشینگ برای شخص قربانی طراحی شده‌اند که باعث می‌شود قربانی رغبت بیشتری برای کلیک روی پیشنهاد شغلی پیدا کند. اما سومین و احتمالاً خطرناک‌ترین جنبه این است که نرخ بیکاری در دوره همه‌گیری جهانی کرونا بسیار بالا رفته و متعاقباً باعث استیصال بسیاری از جویندگان کار شده است. این شرایط می‌تواند شانس موفقیت این حملات را بیشتر کند.

هرچند این شرکت موفق به شناسایی گروه مجرمان پشت این کمپین نشده است، اما طبق مشاهده پژوهشگران، تا به حال گروه‌های FIN6، Cobalt و Evilnum، هر کدام برای مقاصد خود از بدافزار more_eggs استفاده کرده‌اند.

گروه تبهکاران مالی FIN6 در سال 2019 با استفاده از این ابزار شرکت‌های تجارت الکترونیک را هدف گرفتند. در همان زمان مهاجمان، با استفاده از این «تخم‌مرغ‌ها» به سیستم‌های پرداخت آنلاین شرکت‌های فروش، سرگرمی و دارویی حمله کردند. هرچند محققان eSentire با قطعیت این مهاجمان را به FIN نسبت نداده‌اند، اما احتمال ارتباط بین آنها وجود دارد.

هدف حملات چیست؟

به گفته محققان، انگیزه حمله مشخص نیست. Chris Morales مدیریت ارشد امنیت اطلاعات شرکت Netenrich می‌گوید نمی‌توان از دستگاه شخصی یک فرد بیکار چیز زیادی به دست آورد، مگر اینکه مجرمان ببینند او با چه کسانی در ارتباط است و امیدوار باشند به شبکه محل کار آینده وی نفوذ کنند. اکنون که دورکاری رواج دارد، دستگاه‌های شخصی و سازمانی در یک شبکه حضور دارند.

eSentire در گزارش خود به فردی شاغل در بخش فناوری بهداشت اشاره می‌کند که هدف حمله قرار گرفته است. Chris Hazelton از شرکت امنیت موبایل Lookout احتمال می‌دهد مجرمان، این قربانی را انتخاب کرده‌اند تا بتوانند به زیرساخت ابری سازمان دست پیدا کنند. وی می‌افزاید همه کاربران لینکدین باید مراقب کلاهبرداری فیشینگ هدفمند باشند.