Kali ini dikabarkan ada operasi spear-phishing baru di LinkedIn dengan tawaran pekerjaan yang mendistribusikan malware bernama “more_eggs.”
Untuk meningkatkan tingkat keberhasilannya, umpan phishing memanfaatkan file arsip ZIP berbahaya yang memiliki nama serupa dengan pekerjaan target yang tercantum di profil LinkedIn mereka.
“Misalnya, jika pekerjaan yang tercantum di LinkedIn sebagai Senior Account Executive – International Freight, file zip berbahaya akan diberi judul Senior Account Executive – International Freight position (perhatikan ada ‘position’ ditambahkan di akhir),” kata Threat Response Unit (TRU) perusahaan keamanan siber eSentire. “Saat membuka tawaran pekerjaan palsu, korban tanpa sadar akan memulai instalasi backdoor fileless, more_eggs.”
Pelaku operasi berbahaya di LinkedIn ini masih belum diketahui, meskipun malware more_eggs pernah digunakan oleh berbagai kelompok penjahat siber seperti Cobalt, FIN6, dan EvilNum.
Baca Juga: “Google: Peretas Korea Utara Menyamar Sebagai Perusahaan Keamanan Palsu Untuk Menargetkan Para Peneliti“
Setelah diinstal, more_eggs akan mempertahankan profil tersembunyinya dengan membajak proses Windows yang sah sambil menampilkan umpan dokumen “aplikasi pekerjaan” untuk mengalihkan perhatian target dari proses malware di latar belakang yang sedang berjalan. Selain itu, ini dapat bertindak sebagai saluran untuk mengambil muatan tambahan dari server yang dikendalikan penyerang, seperti trojan perbankan, ransomware, pencuri kredensial, dan bahkan menggunakan backdoor sebagai pijakan di jaringan korban untuk mencuri data.
“Sejak pandemi COVID, tingkat pengangguran meningkat drastis. Ini adalah waktu yang tepat untuk memanfaatkan para pencari kerja yang putus asa mencari pekerjaan,” kata para peneliti. “Jadi, umpan pekerjaan yang disesuaikan bahkan lebih menarik selama masa-masa sulit ini.“
