小心!在LinkedIn上,有恶意软件打着工作机会的幌子

雅加达 - LinkedIn以寻找工作或招聘新员工而闻名,但后来这个专业社交网络以虚假工作机会为幌子感染了恶意软件。

威胁情报公司 Mandiant 发现该活动自 2022 年 6 月以来一直在进行。据信,这个骗局背后的策划者是一个来自朝鲜的黑客组织。

这个名为“梦想工作行动”(Operation Dream Job)的拉撒路组织经常违反加密用户的系统。他们利用LinkedIn上的虚假工作机会来引诱受害者,从而开展新的恶意软件活动。

最初,他们以合法招聘人员为幌子在媒体、技术和国防行业发布虚假的工作机会。

事实上,他们还在一则广告中模仿了《纽约时报》的媒体。但是,Mandiant认为,新的活动来自Lazarus的一个独立组织,并且是独一无二的,因为用于攻击的TouchMove,SideShow和TouchShift恶意软件以前从未见过。

在用户回应LinkedIn的工作机会后,黑客随后在WhatsApp上继续该过程,在那里他们将共享一个包含恶意宏的Word文档,然后从WordPress站点安装一个木马,黑客入侵并用作他们的控制中心。

该木马基于TightVNC,称为LidShift,反过来上传一个恶意Notepad++插件,该插件下载称为LidShot的恶意软件,然后在设备上部署最终有效载荷,即PlankWalk后门。

之后,黑客随后使用了一个名为TouchShift的恶意软件投放器,该投放器隐藏在Windows二进制文件中。它包含大量额外的恶意内容,分别包括TouchShot和TouchKey,屏幕截图实用程序和键盘记录器,以及TouchMove加载程序调用。

这样,创建了另一个称为SideShow的后门,黑客将在其中获得对主机系统的高度控制,例如编辑注册表,更改防火墙设置和运行其他负载的能力。

黑客还在不使用VPN的公司中使用CloudBurst恶意软件,滥用Microsoft Intune的端点管理服务,引述自TechRadar,3月14日星期二。

黑客也没有逃脱利用华硕Driver7.sys中的零日漏洞,另一个名为LightShow的有效载荷使用该漏洞来修补端点保护软件中的内核例程,并防止检测。目前,该缺陷已修补。