I ricercatori di WithSecure hanno scoperto diverse offerte di lavoro su LinkedIn che sono state utilizzate per distribuire malware. Una di esse riguarda il noto produttore Corsair. I cybercriminali vietnamiti, gli stessi autori della campagna Ducktail, cercano di ingannare gli utenti per installare noti info-stealer sui loro computer.
False offerte di lavoro su LinkedIn
I cybercriminali contattano le ignare vittime con post e messaggi diretti. I bersagli preferiti sono utenti che gestiscono le attività di marketing delle aziende e quindi hanno probabilmente accesso agli account business di Facebook. Le offerte di lavoro riguardano un posto di specialista Facebook Ads presso Corsair.
I cybercriminali invitano gli utenti a scaricare un file ZIP. L’URL del sito contiene il nome “corsair“, quindi sembra legittimo. Cliccando sul link viene effettuato il redirecting verso Google Drive o Dropbox. All’interno dell’archivio c’è un documento PDF, DOCX o TXT.
Analizzando i metadati, gli esperti di WithSecure hanno trovato indizi che portano alla distribuzione di RedLine. L’archivio contiene anche uno script VBScript che copia su disco il file curl.exe
con un altro nome. Quest’ultimo scarica autoit3.exe
e uno script AutoIt3. L’eseguibile avvia lo script, nel cui codice sono presenti le stringhe che generano DarkGate, un altro info-stealer.
Trenta secondi dopo l’installazione, il malware tenta di rimuovere i prodotti di sicurezza dal computer, indicando l’esistenza di un processo automatizzato. LinkedIn ha introdotto diverse funzionalità che permettono di rilevare account fake o sospetti, ma non sono efficaci al 100%.