Secondo l’ultimo rapporto di Proofpoint il gruppo di criminali informatici conosciuto come TA4577 starebbe prendendo di mira, dallo scorso mese di Ottobre, i recruiter recapitando loro e-mail che esprimono interesse per una posizione lavorativa aperta, ma che in realtà avviano una catena di attacco per distribuire malware. TA4557 è un attore di minacce motivato finanziariamente e noto per distribuire la Backdoor More_Eggs. L’attività di questo gruppo, secondo Proofpoint, ha presentato storicamente anche dei legami con i gruppi FIN6, Cobalt Group ed Evilnum.
Come inizia l’attacco
Secondo la ricostruzione fatta dai ricercatori, una volta che il destinatario ha risposto all’e-mail iniziale, l’attore risponde con un URL di un sito Web controllato dall’attore stesso ma spacciato come un curriculum online del presunto candidato, o in alternativa con un allegato PDF/Word contenente le istruzioni per visitare il sito web contenente il falso curriculum.
In particolare, spiega il rapporto “nelle campagne osservate all’inizio di novembre 2023, Proofpoint ha osservato che TA4557 nell’e-mail iniziale invece di inviare direttamente l’URL del sito web del curriculum in una risposta successiva, indicava al destinatario di fare riferimento al nome di dominio dell’indirizzo e-mail per accedere al curriculum. Si tratta probabilmente di un ulteriore tentativo di eludere il rilevamento automatico di domini sospetti“.
La fase successiva dell’attacco
Qualora le potenziali vittime (recruiter) seguendo le indicazioni nel corpo della e-mail, visitano la presunta pagina web personale che riproduce il curriculum/sito professionale del candidato interessato al ruolo disponibile, il sito web determina con un controllo preventivo se portare il recruiter verso la fase successiva della catena di attacco oppure indirizzarlo verso una pagina contenente un semplice curriculum innocuo.
Qualora l’interlocutore superi il controllo di filtraggio, il download scaricherà infatti un archivio .zip contenente un file link .LNK che se eseguito, abusando delle funzioni software legittime, avvierà una catena d’infezione in più fasi, impiegando tecniche “Living Off The Land” (LOTL), anti-sandbox e anti-analisi, fino al rilascio definitivo della backdoor More_Eggs per stabilire la persistenza, profilare la macchina e rilasciare eventuali malware aggiuntivi.
Consapevolezza e formazione
Poichè TA4577 modifica con regolarità gli indirizzi e-mail, i domini e la propria infrastruttura impiegati negli attacchi, ciò rende estremamente difficile tarare gli strumenti di sicurezza per rilevare tale minaccia. Pertanto, Proofpoint esorta le organizzazioni che utilizzano siti Web di annunci di lavoro di terze parti ad essere consapevoli delle TTP (Tattiche, Tecniche e Procedure) di questo attore e istruire, in particolare i propri addetti alle funzioni di reclutamento e assunzione, riguardo all’esistenza di questa possibile minaccia.
