Grupa hakerów, którzy nazywają siebie „Golden Chickens” używa serwisu LinkedIn do dystrybucji bezplikowego backdoora znanego jako „more_eggs”, ostrzegają eksperci firmy eSentire zajmującej się bezpieczeństwem cybernetycznym.
Sposób działania jest dość prosty: grupa szuka osób poszukujących pracy i wysyła im plik .ZIP rzekomo powiązany z podaniem o pracę. Nazwa pliku jest identyczna z nazwą stanowiska pracy, jakie zajmuje ofiara. Jeśli ofiara otworzy plik, backdoor bezplikowy more_eggs zostaje potajemnie zainstalowany. Backdoor umożliwia przestępcom dostęp do systemu i umożliwia dalszą instalację złośliwego oprogramowania lub ransomware.
eSentire określa ataki spear phishingowe (bardziej wyrafinowana forma standardowego ataku phishingowego, w pełni spersonalizowana i poprzedzona wywiadem środowiskowym) z wykorzystaniem more_eggs jako „ogromne zagrożenie dla firm i profesjonalistów”, ponieważ pozwalają one obejść tradycyjne rozwiązania antywirusowe i umożliwiają atakującym kradzież danych uwierzytelniających i poufnych danych.
Co więcej, ponieważ sytuacja Covid-19 pozostawia wiele osób bez pracy, oszustwo ma większe szanse powodzenia niż zwykle. Analitycy odkryli, że grupa Golden Chickens sprzedaje również backdoora more_eggs jako usługę. Zauważono, że używają go też inne grupy, takie jak FIN6 lub Evilnum.
Dla ekspertów motywacja cyberprzestępców pozostaje jednak nie do końca jasna, ponieważ dotarcie do bezrobotnej osoby ma raczej dla nich niewielką wartość.
