针对招聘经理的新型网络犯罪活动

关键要点

最近，一些网络犯罪团伙开始瞄准招聘经理与招聘人员，利用新的策略传播“more_eggs”后门恶意软件。据Proofpoint在周二的安全简报中指出，伪装成求职者的电子邮件利用复杂的社交工程和基础设施，引诱受害者下载恶意的“简历”。

安全电子邮件网关是组织常用的之一，而TA4557使用的新方法旨在绕过这些措施，引诱招聘人员访问攻击者控制的网站。

“社交工程在促使用户下载文件之前非常令人信服。”Proofpoint高级威胁分析师Selena Larson对SC Media表示。

攻击始于一封询问职位空缺的邮件，不含链接或附件，似乎 benign的邮件实际上是在开始建立信任。如果受害者回复，攻击链接着将继续，由所谓的求职者邀请招聘经理或招聘人员从其“个人网站”下载简历。

与传统针对求职者的工作诈骗不同，这样的攻击不需要通过拼写欺诈等手段假冒现有企业。此外，研究人员在11月初发现，攻击者故意避免发送链接，转而指引受害者“参考我的电子邮件地址域名以访问我的个人资料”。

通过要求受害者复制并粘帖恶意域名，增加了邮件通过安全电子邮件网关的可能性。同时，像“wlynch[.]com”和“annetterawlings[.]com”这样的不起眼域名，往往比来自Gmail或Yahoo等免费电子邮件提供商的邮件更不容易引起警觉。

根据Larson的说法，攻击者控制的“候选人”网站会根据受害者的IP地址等信息应用过滤器，以决定是否将其移至攻击的下一个阶段。

未通过检查的用户将被引导到包含纯文本简历的页面，而“通过”的用户会被引导到一个可在完成CAPTCHA提示后下载ZIP文件的页面。

“CAPTCHA通常被威胁行为者用来确保真实用户接收内容，而不是自动化负载检测工具。”Larson解释道。

下载的ZIP文件包含一个伪装成候选人简历的LNK文件，执行该文件后会启动more_eggs后门的安装。

TA4557使用的恶意软件劫持合法软件的功能，以建立后门并获取更多关于受害者系统的信息。

执行伪装的LNK文件后，微软实用程序ie4uinit.exe被用来从ie4uinit.inf文件下载和执行脚本，根据研究人员的说法，这个脚本会解密并将动态链接库（DLL）存放在%APPDATA%Microsoft下。

接下来，恶意软件通过Windows管理工具（WMI）创建一个新的regsrv32进程，或者在WMI方法失败时，通过ActiveX对象运行来执行DLL。

该DLL使用循环检索解密more_eggs后门所需的RC4密钥，并试图延长执行时间以规避沙盒环境。同时，它还利用NtQueryInformationProcess功能不断检查自己是否被调试。

在整个过程中，DLL将more_eggs后门与另一个合法实用程序msxsl.exe一起丢弃，并使用WMI启动MSXSL进程的创建，然后自我删除。

一旦成功安装，more_eggs就可以通过收集受害者计算机的信息和作为额外恶意软件负载的下载器来便利一系列进一步的攻击。

“因为像more_eggs这样的恶意软件采用所谓的无文件方法以逃避AV