黑客正在模仿LinkedIn上的招聘机构，目的是针对有后门恶意软件的公司。Proofpoint的研究人员发现，恶意软件活动主要针对各个行业的美国公司，包括零售，娱乐，药房和其他通常采用在线支付的网络支付，如在线购物门户网站。在一篇 博客文章中，该公司表示，黑客通过滥用LinkedIn的直接消息服务与潜在的受害者建立了关系。

在后续电子邮件中，演员假装来自一家提供就业机会的员工公司。在许多情况下，演员支持使用伪造网站的活动来冒充合法的人员配置公司。“但是，这些网站托管恶意有效载荷。在其他情况下，演员使用一系列恶意附件来分发More_eggs，“该公司表示。

一周后，黑客随后向目标的工作地址发送直接电子邮件，提醒收件人先前在LinkedIn上进行通信的尝试。

“它使用目标的专业标题，因为它出现在LinkedIn上作为主题，并且经常建议收件人点击链接以查看所提到的职位描述。在其他情况下，该演员使用带有嵌入式URL或其他恶意附件的附加PDF，“Proofpoint补充道。

这些网址链接到一个目标网页，该网页欺骗真正的人才和人员管理公司，使用被盗品牌来提高广告系列的合法性。然后，此页面将启动恶意Word文档的下载，然后尝试下载并执行“More_eggs”有效内容(如果收件人已启用宏)。

研究人员补充说：“这些活动表现出相当大的可变性，演员经常改变交付方式等等。”

他们表示，黑客正在远离大规模的“喷雾和祈祷”活动，更多地关注对下载者，RAT，银行家和其他恶意软件的持续感染。

研究人员警告说：“我们可以期待更多威胁参与者采用可提高诱饵效果的方法，并增加高质量感染的可能性。”