• 發布單位:TWCERT/CC
• 更新日期:2023-10-30
• 點閱次數:137

資安廠商唯思安全（WithSecure） 近期發現有駭侵者假冒電腦硬體製造商 Cosair 在 LinkedIn 上刊登徵才啟事，藉以散布 DarkGate 和 RedLine 等惡意軟體。

WithSecure 的資安專家在該公司發表的資安研究報告中指出，近來有駭侵者在 LinkedIn 上冒充專業電腦硬體製造商 Cosair 發布一個負責投放 Facebook 廣告的假職缺，當有受害者上鉤後，駭侵者再傳送一個含有惡意軟體文件的 zip 壓縮檔給受害者，以在受害者電腦中散布惡意軟體。

WithSecure 指出，發動這波攻擊的駭侵團體，也曾在去年發動另一波名為「Ducktail」駭侵攻擊活動。

這波攻擊的主要目的，是要竊取受害者管理的 Facebook 企業帳號，藉以進行進一步的駭侵攻擊活動，或是將帳號出售牟利。主要的攻擊對象為美國、英國和印度的求職者；而假冒的 LinkedIn 求才啟事主要招募的是具有 Facebook 企業帳號與 Facebook 廣告投放經驗的社群管理者。

受害者一旦下載了含有惡意軟體的 zip 檔，解壓縮後會出現三個檔案，其中一個 .docx 檔案中含有惡意 VBS 指令碼；開啟該 Word .docx 檔案時，會進一步下載 DarkGate 或 RedLine 惡意軟體酬載，並且試圖移除受害系統上的資安防護軟體，以隱蔽行蹤並持續進行攻擊。

建議使用者在 LinkedIn 等類似的社群網站上，應對任何附件檔案提高警覺，勿輕易開啟容易夾藏惡意程式碼的檔案格式，如 Microsoft Office 文件檔與各種可執行檔。