I criminali informatici prendono di mira le persone in cerca di lavoro negli Stati Uniti e in Nuova Zelanda per distribuire beacon Cobalt Strike, ma anche altri virus e malware (si apre in una nuova scheda).
I ricercatori di Cisco Talos affermano che un attore di minacce sconosciuto sta inviando più esche di phishing tramite e-mail, assumendo l'identità (si apre in una nuova scheda) dell'Office of Personnel Management (OPM) degli Stati Uniti, nonché della Public Services Association of New Zealand (PSA) . ).
L'e-mail chiede alla vittima di scaricare ed eseguire un documento Word allegato, sostenendo che contenga maggiori dettagli sull'opportunità di lavoro.
Esecuzione di codice da remoto
Il documento contiene macro che, se eseguite, sfruttano una vulnerabilità nota come CVE-2017-0199, un difetto di esecuzione di codice in modalità remota corretto nell'aprile 2017. L'esecuzione della macro fa sì che Word scarichi un modello di documento da un repository da Bitbucket. Il modello esegue quindi una serie di script Visual Basic, che a loro volta scaricano un file DLL chiamato "newmodeler.dll". Questa DLL è in realtà un faro Cobalt Strike.
Esiste anche un altro metodo di distribuzione meno complicato in cui il downloader di malware viene ottenuto direttamente da Bitbucket.
Con l'aiuto di un beacon Cobalt Strike, gli attori delle minacce possono eseguire in remoto vari comandi sull'endpoint compromesso, rubare dati e spostarsi lateralmente attraverso la rete, mappandola e trovando dati più sensibili.
I ricercatori affermano che i beacon comunicano con un server Ubuntu, ospitato da Alibaba e con sede nei Paesi Bassi. Contiene due certificati SSL autofirmati validi.
Cisco non ha nominato gli attori delle minacce dietro questa campagna, ma c'è un nome di spicco che è stato recentemente coinvolto in numerose campagne di lavoro falso, ed è il gruppo Lazarus.
Il famigerato attore di minacce sponsorizzato dallo stato nordcoreano prende di mira sviluppatori blockchain, artisti che lavorano su token non fungibili (NFT), nonché esperti aerospaziali e giornalisti politici con lavori falsi, rubando criptovaluta e informazioni preziose. .
Via: BleepingComputer (si apre in una nuova scheda)