Pesquisadores do Arctic Wolf Labs detalharam uma nova campanha de spear-phishing que tem como alvo gerentes de contratação e recrutadores se passando por candidatos a emprego.
Um agente de ameaças rastreado como “Venom Spider” está mirando funcionários de RH, como recrutadores, com um esquema complexo de phishing que capitaliza a necessidade desses funcionários abrirem anexos de e-mail.
Pesquisadores da Arctic Wolf, fornecedora de segurança, monitoraram a campanha, que tem como alvo gerentes de contratação e recrutadores com e-mails especializados em spear-phishing. Como o Arctic Wolf Labs explicou em uma publicação de blog em 2 de maio , os funcionários responsáveis pelo processo de contratação podem estar entre os mais vulneráveis a esse tipo de ataque cibernético.
“Os recrutadores e gerentes de contratação que trabalham em departamentos de RH são frequentemente considerados o ponto fraco de uma organização pelos invasores, pois a própria natureza de seu trabalho significa que eles devem abrir regularmente anexos de e-mail (por exemplo: currículos e cartas de apresentação) enviados a eles por fontes externas e desconhecidas, incluindo candidatos a empregos e agências de contratação”, dizia a postagem do blog.
A pesquisa detalha o Venom Spider , um agente de ameaças com motivação financeira que se candidata a empregos reais usando currículos falsos. Os e-mails enviados contêm arquivos que, quando baixados, geram um backdoor multifuncional chamado “More_eggs”.
Como a aranha venenosa ataca sua presa
O Venom Spider está ativo há vários anos, com atividades que datam pelo menos do final da década de 2010. A ProofPoint publicou uma pesquisa no início de 2019 detalhando como o backdoor More_eggs foi usado já em meados de 2018.
Nessa campanha, o Venom Spider publicava vagas falsas e contatava usuários por meio do serviço de mensagens diretas do LinkedIn. O agente da ameaça distribuía payloads por meio de sites falsos de recrutamento, bem como anexos maliciosos.
Em sua atividade mais recente, detalhada pela Arctic Wolf, o Venom Spider tem enviado e-mails de spear-phishing para recrutadores corporativos ou gerentes de contratação. A mensagem contém um link para um site externo, que inclui uma caixa de captcha (usada para burlar os scanners automáticos). Assim que a vítima passa na verificação de captcha, um arquivo zip é baixado, “o que o recrutador é levado a acreditar ser o currículo do candidato”.
Em vez disso, o arquivo zip contém um arquivo de imagem “g.jpg” — uma “distração”, de acordo com a Arctic Wolf — bem como um atalho malicioso do Windows, ou arquivo .Ink, que atua como carga útil para o primeiro estágio do ataque.
O arquivo .Ink baixa um arquivo .bat da infraestrutura do invasor. O arquivo .bat, por sua vez, abre o WordPad (para induzir o funcionário a pensar que um arquivo real está sendo acessado) enquanto inicia secretamente o aplicativo legítimo do Windows “ie4uinit.exe” para executar comandos e código JavaScript.
Como parte de tudo isso, o código malicioso cria uma biblioteca executável conhecida como “More_eggs_Dropper”.
“A biblioteca executável More_eggs_Dropper é complexa, utilizando código ofuscado que gera código JavaScript polimorficamente. A execução da biblioteca é atrasada para evitar o sandbox e a análise por pesquisadores”, disse Arctic Wolf. “O More_eggs_Dropper cria um executável legítimo do Windows msxsl.exe para executar arquivos XML que também podem conter código JavaScript. Sabe-se que essa técnica foi usada pelo Venom Spider em campanhas anteriores.”
Da mesma forma, o arquivo .Ink inicial é gerado polimorficamente, o que significa que um novo arquivo é baixado a cada vez do servidor do invasor, com ofuscação e tamanho de arquivo diferentes.
O More_eggs_Dropper cria um iniciador JavaScript, um payload JavaScript e um executável para executar arquivos XML. Seus payloads, por fim, levam à execução do More_eggs, o payload primário na cadeia de ataque. O backdoor coleta informações do sistema das vítimas e se comunica com um servidor de comando e controle (C2). Por fim, o More_eggs é usado para “executar código JavaScript adicional ou arquivos executáveis no sistema da vítima”.
Arctic Wolf disse que o Venom Spider vem realizando esses ataques desde pelo menos outubro de 2023.
Como os defensores podem se proteger
Embora haja muito a ser dito sobre a natureza complexa da campanha do Venom Spider, no fim das contas, trata-se apenas de mais uma campanha de phishing. Por isso, os pesquisadores da Arctic Wolf recomendam treinar regularmente os funcionários para identificar e combater ataques de spear-phishing.
Além disso, “funcionários que trabalham em departamentos vulneráveis, como RH e Recrutamento, devem receber treinamento adicional que os ensine a sempre serem extremamente cautelosos com anexos que sejam arquivos LNK, ISO ou VBS.”
“Esses tipos de arquivo costumam ser enviados como arquivos zip para contornar filtros de e-mail”, dizia a postagem do blog. “Os funcionários devem ser ensinados a inspecionar rotineiramente os arquivos anexados clicando com o botão direito do mouse no arquivo e selecionando ‘Propriedades’ (no Windows) ou ‘Obter Informações’ (no Mac) antes de abri-los.”
Embora elementos do esquema do Venom Spider possam parecer óbvios, Stefan Hostetler, pesquisador sênior de inteligência de ameaças da Arctic Wolf, disse ao Dark Reading que “é importante entender que, na economia atual, pode haver centenas de candidatos se candidatando a vagas de emprego anunciadas publicamente”. Em outras palavras, a pressão exercida sobre os recrutadores dá aos invasores uma “vantagem imediata”.
Hostetler diz que os departamentos de RH são um alvo comum para agentes de ameaças e que, embora a Arctic Wolf Labs não tenha uma visão completa de quão disseminada a campanha é, a longa vida dessa atividade até o momento significa que “é lógico que a campanha é bem-sucedida e está em constante evolução”.
Fonte: https://www.darkreading.com/cyber-risk/venom-spider-phishing-scheme acesso em 28.05 às 10:14
