Posté le mai 23, 2021 à 16:37
LES UTILISATEURS DE LINKEDIN VISÉS PAR UNE CAMPAGNE DE LOGICIELS MALVEILLANTS VIA DE FAUSSES OFFRES D’EMPLOI
Un rapport récent a révélé que LinkedIn pourrait être confronté à davantage de problèmes de sécurité dus à des personnes extérieures qui tentent d’abuser de ses services. Des acteurs malveillants cherchent à tromper les utilisateurs en utilisant de fausses offres d’emploi pour diffuser des logiciels malveillants.
Selon le rapport, plusieurs campagnes de spear-phishing sont actuellement menées par des cyberattaquants qui incitent les professionnels à ouvrir un fichier zip contenant un logiciel malveillant. Les acteurs malveillants ont recours à une approche systématique consistant à contrer les offres d’emploi similaires qui correspondent aux qualifications des professionnels afin d’obtenir une réponse rapide de leur part.
Le fichier .zip contient une porte dérobée connue sous le nom de « more-eggs », qui exécute plusieurs plugins malveillants et permet un accès à distance à l’ordinateur de la victime.
Les acteurs malveillants agissent de manière systématique
Les chercheurs de la société de cybersécurité eSentire ont entravé les actions de l’un des arnaqueurs. Selon les chercheurs, ledit acteur malveillant avait ciblé un professionnel du secteur de la santé.
Lorsque le fichier zip a été ouvert, la campagne de logiciels malveillants a exécuté VenomLNK pour l’étape préliminaire de la porte dérobée more-eggs. En conséquence, le Windows Management Instrumentation dans la chaîne d’attaque des fichiers a été détourné.
Une fois la première étape de la porte dérobée mise en œuvre, les attaquants ont utilisé le chargeur de plugins de la porte dérobée, TerraLoader, pour voler des processus Windows authentiques. La victime se voit alors présenter un faux document à la place.
Le fichier est ensuite camouflé en une véritable demande d’emploi pendant que more-eggs travaille et rassemble des fichiers en arrière-plan.
Les attaquants ne s’arrêtent pas là avec leur logiciel malveillant. Ils déploient également le plugin TerraLoader pour charger une charge utile, établissant ainsi le contact avec le serveur de commande et de contrôle des acteurs malveillants.
Cela permet aux acteurs malveillants d’installer des logiciels malveillants supplémentaires sur le serveur de la victime en utilisant more-eggs. Une fois que le logiciel malveillant supplémentaire, tel qu’un ransomware, est installé, il peut rester dans le système affecté et voler d’autres données sensibles.
Découverte de plusieurs autres offres d’emploi fictives sur LinkedIn
D’autres chercheurs ont révélé que plusieurs autres acteurs malveillants utilisent des approches de phishing similaires pour accéder aux ordinateurs des victimes et voler des informations sensibles.
Proofpoint a révélé avoir découvert une attaque similaire en 2019, où les acteurs malveillants ont abusé du service de messagerie directe de LinkedIn pour établir une communication avec leurs cibles.
Ils prétendaient communiquer en tant que personnel d’une entreprise reconnue et proposaient des offres d’emploi aux victimes. Ils ont envoyé des e-mails de suivi et ont demandé aux victimes d’ouvrir une pièce jointe malveillante ou de visiter un faux site Web. Quelle que soit l’option présentée aux victimes, celles-ci finissent par laisser, sans le savoir, le logiciel malveillant more-eggs s’installer dans leur système.
En janvier de cette année, certains acteurs malveillants ont installé le logiciel malveillant de vol de données ZeuS dans l’ordinateur de leurs victimes via des demandes de contact sur LinkedIn. D’autres ont envoyé des messages d’arnaque à leurs victimes, les incitant à partager leurs coordonnées bancaires.
D’autres acteurs malveillants ont incité les utilisateurs à ouvrir un document partagé privé LinkedIn à l’aide de messages de phishing.
Tom Guide a indiqué que les messages redirigeaient les utilisateurs vers une fausse page de connexion destinée à voler les données du compte de la victime.
Défense contre les arnaques sur LinkedIn
Les fraudes par hameçonnage sur LinkedIn sont similaires aux autres fraudes par hameçonnage, et le même processus est appliqué pour éviter d’en être victime, selon les chercheurs en sécurité. L’un des moyens de se défendre contre ces attaques consiste pour les entreprises à donner à leurs employés une orientation suffisante sur la nature de ces escroqueries et sur la manière de les repérer.
Cette formation peut aider la plupart de ces employés à repérer les nouvelles attaques visant leurs systèmes, même s’ils ne travaillent plus pour l’organisation.
Les organisations peuvent également déployer des formations de sensibilisation à la sécurité afin d’éviter que leurs employés n’en dévoilent trop sur leur page de médias sociaux. Certains acteurs malveillants ciblent un type spécifique d’employés en fonction des informations qu’ils recueillent sur la page de médias sociaux de la cible. Cela empêchera les acteurs malveillants de repérer des cibles potentielles à l’aide de LinkedIn et de mener des attaques de suivi.
Le nombre d’attaques de phishing a également augmenté ces derniers temps après que de nombreux travailleurs ont été déplacés en raison de l’impact de la pandémie de Covid-19. Par conséquent, il a été conseillé aux utilisateurs de LinkedIn d’être très vigilants à l’égard de toute offre d’emploi sur la plateforme et de ne fournir aucun détail personnel à quiconque sur les médias sociaux, sauf s’il s’agit de connaissances personnelles.
