یک پویش مخرب تلاش میکند تا کاربران تجاری امریکا را با یک دربپشتی که بیش از نیم سال است که فعالیت میکند، آلوده کند. این پویش بهطور عمده شرکتهای امریکایی در زمینهی خردهفروشی، سرگرمی، داروخانه و سایر صنایعی که معمولاً از پرداختهای آنلاین استفاده میکنند، هدف قرار میدهد و از لینکدین برای آلوده کردن کاربران از طریق دربپشتی More-eggs استفاده میکند.
عامل تهدید پشت این حملات از یک پروفایل لینکدین جعلی اما قانونی استفاده میکند تا تماس با هدف را آغاز کند. کاربران تشویق میشوند تا روی یک لینک کلیک کنند و توصیف شغلی ذکرشده را ببینند، یا در برخی موارد یک پیدیاِف پیوستشده را با آدرسهای اینترنتی تعبیهشده در داخل آن یا سایر پیوستهای مخرب باز کنند. پژوهشگران امنیتی Proofpoint انواع مختلف حملات را مشاهده کردهاند اما بیان میکنند که بیشتر آنها ویژگیهای مشترکی دارند.
قربانیان به یک صفحه هدایت میشوند که یک استعداد واقعی و شرکت مدیریت کارکنان را جعل میکند و از نام تجاری سرقتی برای قانونی کردن آن استفاده میکند. این صفحه بارگیری یک سند وُرد حاوی ماکروهای مخرب را آغاز میکند. درصورتیکه کاربر این سند را باز کند و اجازه دهد ماکروهای مخرب را اجرا کند، دربپشتی More-eggs بارگیری و اجرا میشود. دربپشتی More-eggs با جاوااسکریپت نوشته شده و اغلب بهعنوان یک برنامهی بارگیری استفاده میشود، اما این توانایی را دارد که در دستگاه آلوده فرمانهای شِل را اجرا کند.
