Una serie de campañas de malware que empujan el backdoor More_eggs a través de ofertas de trabajos falsos, están dirigidas a empleados de compañías estadounidenses que usan portales de compras y sistemas de pago en línea.
El malware utilizado en esta campaña de Phishing, busca ejecutar el backdoor JavaScript llamado More_eggs una variedad de malware diseñada para permitir que los atacantes controlen las máquinas comprometidas de manera remota y para que puedan soltar las cargas útiles de malware en las computadoras de sus víctimas.
More_eggs fue identificado inicialmente por Trend Micro en el verano de 2017 y, desde entonces, se usó en múltiples campañas de correo electrónico maliciosas, dirigidas a instituciones financieras de Europa del Este o fabricantes de cajeros automáticos y otros sistemas de pago.
El método de entrega siempre comienza con un contacto inicial a través del servicio de mensajería directa de LinkedIn utilizando una cuenta de LinkedIn legítima, seguido de correos electrónicos diseñados para entregar archivos adjuntos maliciosos o intentando engañar al objetivo para que haga clic en un enlace malicioso.
Las URL incrustadas en el cuerpo de los correos electrónicos de phishing o en sus archivos adjuntos apuntan "a una página de destino que falsifica a una verdadera empresa de gestión de personal y talento, que utiliza la marca robada para mejorar la legitimidad de las campañas".
En el siguiente paso del proceso de infección, la página de inicio iniciará automáticamente la descarga de un documento de Microsoft Office creado mediante la herramienta Taurus Builder.
A continuación, este documento intentará descargar y ejecutar la carga de More_eggs si el destino habilita las macros y las macros maliciosas agrupadas pueden ejecutarse.-
