LinkedIn Spear-Phishing-Kampagne zielt auf Jobsuchende

Cyber Security News

Gefälschte Jobangebote locken Berufstätige zum Download des Backdoor-Trojaners more_eggs.

Eine Bedrohungsgruppe namens Golden Chickens verbreitet den dateilosen Backdoor-Trojaner more_eggs über eine Spear-Phishing-Kampagne, die sich mit gefälschten Jobangeboten an Berufstätige auf LinkedIn richtet, so die Forscher von eSentire.

Die Phishing-E-Mails versuchen, ein Opfer dazu zu verleiten, auf eine bösartige ZIP-Datei zu klicken, indem sie den aktuellen Jobtitel des Opfers aufgreifen und das Wort “Position” am Ende hinzufügen, so dass es wie ein legitimes Angebot aussieht.

Wenn der Job des LinkedIn-Mitglieds beispielsweise als “Senior Account Executive-International Freight” aufgeführt ist, würde die bösartige ZIP-Datei den Titel “Senior Account Executive-International Freight position” tragen (man beachte das angehängte “position” am Ende)”, heißt es in dem Bericht. “Nach dem Öffnen des gefälschten Stellenangebots initiiert das Opfer unwissentlich die heimliche Installation der dateilosen Backdoor more_eggs”.

Einmal heruntergeladen, kann more_eggs zusätzliche Malware abrufen und Zugriff auf das System des Opfers ermöglichen, so der Bericht. Die Gruppe Golden Chickens verkauft more_eggs auch als Malware-as-a-Service an andere Cyberkriminelle, die damit in den Systemen der Opfer Fuß fassen, um andere Arten von Malware zu installieren, darunter Banking-Malware, Credential Stealers und Ransomware, oder einfach nur, um Daten zu exfiltrieren, so eSentire.

Mehr_Eggs Malware: Eine ‘formidable Bedrohung’

Rob McLeod, Leiter der Threat Response Unit von eSentire, hob drei spezifische Aspekte des More_Eggs-Trojaners hervor, die ihn zu einer “formidablen Bedrohung für Unternehmen und Geschäftsleute” machen, wie er sagte.

Erstens missbraucht er normale Windows-Prozesse, um Antiviren-Schutzmaßnahmen zu umgehen. Zweitens wies McLeod darauf hin, dass die personalisierten Spear-Phishing-E-Mails die Opfer effektiv dazu verleiten, auf das gefälschte Jobangebot zu klicken. Das vielleicht Schlimmste ist, dass die Malware Arbeitsuchende ausnutzt, die inmitten einer globalen Pandemie und explodierender Arbeitslosenzahlen verzweifelt nach Arbeit suchen, fügte er hinzu.

Während eSentire nicht in der Lage war, die Gruppe hinter more_eggs ausfindig zu machen, haben die Forscher beobachtet, dass die Gruppen FIN6, Cobalt Group und Evilnum die more_eggs-Malware jeweils für ihre eigenen Zwecke genutzt haben.

More_Eggs Malware-As-A-Service

Die Finanz-Bedrohungsbande FIN6 nutzte die more_eggs-Malware, um im Jahr 2019 verschiedene E-Commerce-Unternehmen anzugreifen. Zur gleichen Zeit nutzten Angreifer more_eggs, um in die Online-Zahlungssysteme von Einzelhandels-, Unterhaltungs- und Pharmaunternehmen einzudringen, die reSentire-Forscher nicht definitiv mit FIN6 in Verbindung gebracht haben, aber es wird ein Zusammenhang vermutet.

Auch andere Gruppen haben die Malware verwendet. Evilnum greift laut eSentire gerne Finanztechnologieunternehmen an, um Tabellen, Kundenlisten und Handelsdaten zu stehlen, während sich die Cobalt Group in der Regel auf Angriffe auf Finanzunternehmen mit der more_eggs-Backdoor konzentriert.

Anstatt jemanden anzugreifen, der arbeitslos ist, sind sich die Experten einig, dass das Ziel der Kampagne wahrscheinlich Personen angreift, die berufstätig sind und Zugriff auf sensible Daten haben.

Wie man es vermeidet, ein LinkedIn-Opfer zu sein

Die Motivation für die Angriffe ist unklar, so die Forscher.

“Es gibt nicht viel zu gewinnen, wenn ein arbeitsloser Arbeiter sein eigenes persönliches Gerät benutzt”, sagte Chris Morales, CIO von Netenrich, gegenüber Threatpost. “Außer vielleicht Informationen darüber, mit wem sie sprechen und hoffen, ein zukünftiges Netzwerk zu infiltrieren. Während des Work-from-Home-Zustands, in dem wir uns befinden, koexistieren persönliche und Unternehmensgeräte im selben Netzwerk.”

In dem Bericht verfolgt eSentire den LinkedIn-Angriff von more_eggs auf eine Person aus dem Bereich der Gesundheitstechnologie. Chris Hazelton vom Mobile-Security-Anbieter Lookout erklärte gegenüber Threatpost, dass das besagte Opfer wahrscheinlich ausgewählt wurde, damit Cyberkriminelle “Zugang zur Cloud-Infrastruktur einer Organisation erhalten, mit dem möglichen Ziel, sensible Daten in Bezug auf geistiges Eigentum oder sogar infrastrukturgesteuerte medizinische Geräte zu exfiltrieren”. Er fügte hinzu: “Vernetzte Geräte, insbesondere medizinische Geräte, könnten eine Fundgrube für Cyberkriminelle sein.”

Morales fügte hinzu, dass zur Vermeidung einer Kompromittierung alle Nutzer auf LinkedIn auf Spear-Phishing-Betrug achten sollten.

“LinkedIn anzuvisieren ist keine Raketenwissenschaft”, fügte er hinzu. “Es ist ein soziales Medium für die Unternehmenswelt mit einer Beschreibung der wichtigsten Akteure in jeder Branche. Ich gehe davon aus, dass auch ich ein Ziel bin und suche immer danach.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Underground Markets: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com