Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Malware MoreEggs Disfrazado de CVs Apunta a Reclutadores con Phishing

Escrito por Scarlet Mendoza | Jun 11, 2024 12:03:27 AM

Los cibercriminales están perfeccionando continuamente sus métodos para engañar a las víctimas y acceder a información sensible. Un ejemplo reciente de esto es el malware MoreEggs, que se presenta de manera convincente como currículums. Este ingenioso ataque tiene como objetivo a los reclutadores, aprovechando la urgencia y frecuencia con la que manejan archivos de candidatos. 

 

¿Qué es el malware MoreEggs y cómo funciona?

 

MoreEggs es una herramienta de acceso remoto (RAT) que se ha disfrazado de currículums para engañar a las empresas y facilitar el acceso no autorizado a sus sistemas. Este malware ha sido asociado con el grupo de hackers Golden Chickens, conocido por su capacidad para desarrollar software malicioso altamente especializado y difícil de detectar.

Recientemente se ha detectado un ataque de phishing que distribuye el malware MoreEggs haciéndolo pasar por un currículum, una técnica utilizada originalmente hace más de dos años. El ataque, que no tuvo éxito, tuvo como objetivo una empresa anónima del sector de servicios industriales en mayo de 2024, según se reveló la semana pasada.

"Específicamente, el individuo objetivo era un reclutador que fue engañado por el actor de amenazas haciéndole creer que era un solicitante de empleo y lo atrajo a su sitio web para descargar el cargador"

MoreEggs es una puerta trasera modular capaz de recopilar información confidencial. Se ofrece a otros actores criminales bajo un modelo de malware como servicio (MaaS). El año pasado, se desenmascararon las identidades reales de dos personas, Chuck de Montreal y Jack, que se dice que dirigen la operación.

La última cadena de ataques implica que actores maliciosos respondan a ofertas de trabajo de LinkedIn con un enlace a un sitio de descarga de currículum falso que resulta en la descarga de un archivo de acceso directo de Windows (LNK) malicioso.

Luego, el archivo LNK se usa para recuperar una DLL maliciosa aprovechando un programa legítimo de Microsoft llamado ie4uinit.exe. Después, la biblioteca se ejecuta usando regsvr32.exe para establecer persistencia, recopilar datos sobre el host infectado y eliminar cargas útiles adicionales, incluida la puerta trasera MoreEggs basada en JavaScript.

 



Las campañas de MoreEggs siguen activas, con operadores que continúan utilizando tácticas de ingeniería social, como hacerse pasar por solicitantes de empleo que buscan postularse para un puesto en particular y atraer a los reclutadores para que descarguen su malware. Además, campañas como MoreEggs, que utilizan el modelo de Malware como Servicio (MaaS), parecen ser más escasas y selectivas en comparación con las típicas redes de distribución de malspam.


Te podrá interesar leer:  Análisis de Malware con Wazuh

 

Señales de Infección

 

Detectar More Eggs puede ser complicado debido a su naturaleza sigilosa, pero hay varias señales que las empresas pueden buscar:

 

  1. Rendimiento del Sistema: Un rendimiento anormalmente lento del sistema puede indicar la presencia de malware.

  2. Actividad de Red Sospechosa: Conexiones inusuales a direcciones IP desconocidas pueden ser una señal de comunicación con un servidor de comando y control (C2).

  3. Archivos y Programas Desconocidos: La aparición de archivos o programas desconocidos puede indicar una infección.

  4. Alertas de Seguridad: Mensajes de error o alertas de seguridad inesperadas pueden ser un signo de actividad maliciosa.

 

Estrategias de Protección

 

Para protegerse contra More Eggs y otras amenazas similares, las empresas deben adoptar un enfoque proactivo y multifacético hacia la ciberseguridad. A continuación, se detallan algunas estrategias clave:

 

1. Educación y Concienciación: Capacitar a los trabajadores sobre los riesgos de la ingeniería social y el phishing es crucial. Las empresas deben realizar talleres y simulaciones de phishing para enseñar a los trabajadores a reconocer y manejar correos electrónicos sospechosos.

2. Actualizaciones y Parches: Mantener el software y los sistemas operativos actualizados con los últimos parches de seguridad es esencial para cerrar vulnerabilidades que los atacantes pueden explotar.

3. Implementación de Herramientas de Seguridad Avanzadas: Utilizar soluciones avanzadas de detección y respuesta (EDR) y sistemas de prevención de intrusiones (IPS) puede ayudar a identificar y mitigar amenazas antes de que causen daño significativo.

4. Monitoreo Continuo: El monitoreo continuo de la red y los sistemas es fundamental para detectar actividades sospechosas. Las empresas deben implementar sistemas de gestión de eventos e información de seguridad (SIEM) para correlacionar datos y detectar posibles incidentes de seguridad.

5. Seguridad de Correo Electrónico: Implementar soluciones de seguridad de correo electrónico, como filtros de spam y herramientas de análisis de adjuntos, puede reducir significativamente el riesgo de que correos electrónicos maliciosos lleguen a los empleados.

6. Segmentación de Red: Dividir la red en segmentos más pequeños y aplicar políticas estrictas de control de acceso puede limitar la capacidad de los atacantes para moverse lateralmente dentro de la red.

7. Plan de Respuesta a Incidentes: Desarrollar y mantener un plan de respuesta a incidentes bien definido permite a las empresas reaccionar rápidamente y minimizar el impacto de un ataque.

 

Te podrá interesar leer:  ¿Qué es un SOC como Servicio?

 

Conclusión

 

More Eggs representa una amenaza significativa para las empresas debido a su sofisticación y capacidad para evadir la detección. Adoptar un enfoque integral hacia la ciberseguridad, que incluya educación, tecnologías avanzadas y un monitoreo continuo, es crucial para protegerse contra este tipo de ataques. La conciencia y la preparación son las mejores defensas contra los cibercriminales en el panorama actual.