عاملین تهدید از پست‌های جعلی لینکدین استفاده می‌کنند تا مردم را به دانلود بدافزار سرقت اطلاعات مانند DarkGate و RedLine ترغیب کنند.

شرکت امنیت سایبری WithSecure این فعالیت را شناسایی و فعالیت این گروه را ردیابی کرد و در گزارشی نشان داد که با گروه‌های مجرم سایبری ویتنامی که که برای اولین بار در سال گذشته مشاهده شد، مرتبط است.

هدف این کمپین‌ها سرقت حساب‌های تجاری ارزشمند فیس بوک است که می‌توانند برای تبلیغات نادرست استفاده شوند یا به مجرمان سایبری دیگر فروخته شوند.

DarkGate اولین بار در سال 2017 مشاهده شد، اما استقرار آن تا ژوئن 2023 محدود بود، زمانی که نویسنده آن تصمیم گرفت دسترسی به بدافزار را به مخاطبان بیشتری بفروشد.

نمونه‌های اخیر استفاده DarkGate شامل حملات فیشینگ از طریق  تیم‌های مایکروسافت می‌شود که از حساب‌های در معرض خطر اسکایپ برای ارسال اسکریپت‌های VBS برای راه‌اندازی زنجیره‌ای آلوده به بدافزار استفاده می‌کنند.

بازیگران تهدید ویتنامی عمدتاً کاربرانی در ایالات متحده، بریتانیا و هند را هدف قرار می‌دهند که دارای سمت مدیریت رسانه‌های اجتماعی هستند و احتمالاً به حساب‌های تجاری فیس بوک دسترسی دارند.

هدف‌ها فریب داده می‌شوند تا فایل‌های مخرب را از یک URL (“g2[.]by/corsair-JD”) دانلود کنند که به Google Drive یا Dropbox هدایت می‌شود تا یک فایل ZIP (“حقوق و محصولات جدید.8.4.zip”) با یک PDF یا سند DOCX و یک فایل TXT با نام‌های زیر است:

• Job Description of Corsair.docx
• Salary and new products.txt
• PDF Salary and Products.pdf

بایگانی دانلود شده حاوی یک اسکریپت VBS است که احتمالاً در فایل DOCX جاسازی شده است، که «curl.exe» را کپی و تغییر نام می‌دهد و از آن برای دانلود «autoit3.exe» و یک اسکریپت Autoit3 کامپایل‌شده استفاده می‌کند.

30 ثانیه پس از نصب، بدافزار تلاش می‌کند تا محصولات امنیتی را از سیستم آسیب‌دیده حذف کند که نشان‌دهنده وجود یک فرآیند خودکار است.

LinkedIn اواخر سال گذشته ویژگی‌هایی را برای مبارزه با سوء‌استفاده در این پلتفرم معرفی کرد که می‌تواند به کاربران کمک کند تا تشخیص دهند آیا یک حساب کاربری مشکوک یا جعلی است. با این حال، این بر عهده کاربران است که قبل از برقراری ارتباط با یک حساب جدید، اطلاعات تأیید شده را بررسی کنند.