Come osservato dagli esperti di sicurezza di WithSecure, diverse offerte di lavoro pubblicate sul social network professionale LinkedIn sarebbero state sfruttate per la diffusione di malware e in particolare di infostealer. Alla base di questi tentativi di attacco vi sarebbe l’attività di un gruppo di utenti malevoli che operano dal Vietnam.
Come suggerisce il nome, un infostealer è un malware realizzato per sottrarre informazioni dai terminali infettati. Credenziali per l’accesso agli account personali (compresi quelli bancari), numeri delle carte di credito, immagini e documenti riservati sono soltanto alcuni dei dati che potrebbero essere utilizzati per truffe, furti e ricatti online.
"The DarkGate & Ducktail campaigns have been linked together based on non-technical indicators observed by the researchers. These include lure files, themes, targeting and delivery methods. For example, the initial vector is frequently a LinkedIn message." https://t.co/TQ88d8SF2X pic.twitter.com/ZLOnNdEbc4
— WithSecure™ (@WithSecure) October 23, 2023
Nel caso specifico di questo attacco esso riguarderebbe delle offerte di lavoro come Facebook Ads Specialist presso Corsair, azienda naturalmente del tutto estranea alla vicenda. Le potenziali vittime, generalmente responsabili di marketing aziendale, verrebbero contattate tramite messaggi e post con l’obbiettivo di inviare loro il link ad un archivio in formato Zip.
In tale collegamento sarebbe presente un riferimento alla Corsair, cosa che lo renderebbe almeno apparentemente più affidabile. Una volta effettuato il download e scompattato l’archivio la vittima accederebero ad un file .docx, .text o .pdf contenente uno script in VBScript che ha il compito di copiare l’eseguibile curl.exe nascosto sotto altro nome.
Una volta insediatosi nel sistema quest’ultimo installerebbe un altro eseguibile, autoit3.exe, e lo script AutoIt3. Il primo avrebbe il compito di avviare il secondo restituendo in output l’infostealer DarkGate. L’infezione sarebbe così completa e il malware tenterà di rimuovere dal terminale colpito qualsiasi software per la sicurezza del sistema.