因疫情所導致的高失業率，使LinkedIn上開出了許多職缺，卻也成了惡意人士下手的目標。

資安廠商eSentire發現，一些用LinkedIn尋找工作的使用者會收到符合個人條件的職缺壓縮檔，當他們開啟檔案後，便會觸發惡意程式的安裝。但目前未查證出是哪個駭客團體所為。但這起攻擊事件所使用的工具被稱為more_egg。這個工具曾被FIN6、Cobalt 團體及Evilnum這三個組織使用過。

more_egg來自駭客組織Golden Chickens，他們提供惡意軟體即服務（MaaS），將後門出售給網路犯罪份子。一旦在受害者的設備上發現more_egg，Golden Chickens的客戶就能透過受感染的設備進行惡意行為，包括竊取資料或是安裝勒索軟體等。

駭客寄出的這個惡意壓縮檔，內藏木馬程式，目的是操控感染的電腦或設備，進行惡意行為。而感染的過程，是當LinkedIn使用者開啟了壓縮檔後，就會在背景中執行名為 more_egg 的無檔案後門程式，在初始階段會先偷偷執行 VenomLNK 這隻惡意程式，透過濫用 Windows Management Instrumentation（WMI），啟用惡意軟體外掛程式下載器 TerraLoader，該下載器控制了 Windows 認可的處理程序檔案 cmstp 和 regsvr32，當啟動了TerraLoader，就會向受害者顯示誘餌的 word 文檔。而上述的 cmstp，是與 WMI 連接，配置檔案安裝或移除連線的設定檔，所以如果有惡意指令，將會觸發其執行惡意程式。regsvr32 則是控制項命令工具，可註冊或取消控制項檔案。

而顯示的文檔，是假的就業申請表，只是用於分散受害者的注意力，讓受害者無法察覺到在背景執行的 more_egg 任務，然後 TerraLoader 會將 msxsl 檔安裝至使用者漫遊的設定檔，並從公有雲服務 Amazon Web Services下載 ActiveX 控制項（.ocx檔），並載入 TerraPreter 這支惡意程式。

之後，TerraPreter 透過 msxsl 這個非法副本，作為信標傳出信號至C2伺服器，而這個信標代表more_egg已就緒，供 Golden Chicken 的客戶登入，並開始執行他們的目標，利用這些受感染的電腦繼續去感染受害者，或成為立足點進入受害者的網路，以達到竊取資料的目的。

參考資料：
https://www.ithome.com.tw/news/143691https://www.esentire.com/security-advisories/hackers-spearphish-professionals-on-linkedin-with-fake-job-offers-infecting-them-with-malware-warns-esentire