close

_14_2023.10.23_駭侵團體假冒_Cosair_在_LinkedIn_上徵才,藉機散布惡意軟體

資安廠商唯思安全(WithSecure) 近期發現有駭侵者假冒電腦硬體製造商 Cosair 在 LinkedIn 上刊登徵才啟事,藉以散布 DarkGate 和 RedLine 等惡意軟體。

WithSecure 的資安專家在該公司發表的資安研究報告中指出,近來有駭侵者在 LinkedIn 上冒充專業電腦硬體製造商 Cosair 發布一個負責投放 Facebook 廣告的假職缺,當有受害者上鉤後,駭侵者再傳送一個含有惡意軟體文件的 zip 壓縮檔給受害者,以在受害者電腦中散布惡意軟體。

WithSecure 指出,發動這波攻擊的駭侵團體,也曾在去年發動另一波名為「Ducktail」駭侵攻擊活動。

這波攻擊的主要目的,是要竊取受害者管理的 Facebook 企業帳號,藉以進行進一步的駭侵攻擊活動,或是將帳號出售牟利。主要的攻擊對象為美國、英國和印度的求職者;而假冒的 LinkedIn 求才啟事主要招募的是具有 Facebook 企業帳號與 Facebook 廣告投放經驗的社群管理者。

受害者一旦下載了含有惡意軟體的 zip 檔,解壓縮後會出現三個檔案,其中一個 .docx 檔案中含有惡意 VBS 指令碼;開啟該 Word .docx 檔案時,會進一步下載 DarkGate 或 RedLine 惡意軟體酬載,並且試圖移除受害系統上的資安防護軟體,以隱蔽行蹤並持續進行攻擊。

建議使用者在 LinkedIn 等類似的社群網站上,應對任何附件檔案提高警覺,勿輕易開啟容易夾藏惡意程式碼的檔案格式,如 Microsoft Office 文件檔與各種可執行檔。

  • 參考連結

DarkGate attacks linked to Vietnam-based cyber criminals

https://www.withsecure.com/en/whats-new/pressroom/darkgate-attacks-linked-to-vietnam-based-cyber-criminals

Fake Corsair job offers on LinkedIn push DarkGate malware

https://www.bleepingcomputer.com/news/security/fake-corsair-job-offers-on-linkedin-push-darkgate-malware/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()