小心！在LinkedIn上，有恶意软件打着工作机会的幌子

雅加达 - LinkedIn以寻找工作或招聘新员工而闻名，但后来这个专业社交网络以虚假工作机会为幌子感染了恶意软件。

威胁情报公司 Mandiant 发现该活动自 2022 年 6 月以来一直在进行。据信，这个骗局背后的策划者是一个来自朝鲜的黑客组织。

这个名为“梦想工作行动”（Operation Dream Job）的拉撒路组织经常违反加密用户的系统。他们利用LinkedIn上的虚假工作机会来引诱受害者，从而开展新的恶意软件活动。

最初，他们以合法招聘人员为幌子在媒体、技术和国防行业发布虚假的工作机会。

事实上，他们还在一则广告中模仿了《纽约时报》的媒体。但是，Mandiant认为，新的活动来自Lazarus的一个独立组织，并且是独一无二的，因为用于攻击的TouchMove，SideShow和TouchShift恶意软件以前从未见过。

在用户回应LinkedIn的工作机会后，黑客随后在WhatsApp上继续该过程，在那里他们将共享一个包含恶意宏的Word文档，然后从WordPress站点安装一个木马，黑客入侵并用作他们的控制中心。

该木马基于TightVNC，称为LidShift，反过来上传一个恶意Notepad++插件，该插件下载称为LidShot的恶意软件，然后在设备上部署最终有效载荷，即PlankWalk后门。

之后，黑客随后使用了一个名为TouchShift的恶意软件投放器，该投放器隐藏在Windows二进制文件中。它包含大量额外的恶意内容，分别包括TouchShot和TouchKey，屏幕截图实用程序和键盘记录器，以及TouchMove加载程序调用。

这样，创建了另一个称为SideShow的后门，黑客将在其中获得对主机系统的高度控制，例如编辑注册表，更改防火墙设置和运行其他负载的能力。

黑客还在不使用VPN的公司中使用CloudBurst恶意软件，滥用Microsoft Intune的端点管理服务，引述自TechRadar，3月14日星期二。

黑客也没有逃脱利用华硕Driver7.sys中的零日漏洞，另一个名为LightShow的有效载荷使用该漏洞来修补端点保护软件中的内核例程，并防止检测。目前，该缺陷已修补。