Phishing: Jobangebote via Linkedin mit Malware verseucht
Gruppen, die auf E-Commerce und Finanzsektor spezialisiert sind, greifen gerne auf diese Masche zurück. (Bild: Rawpixel.com/Shutterstock)
Mit gefälschten Jobangeboten über Linkedin lockt eine Masche, um die Rechner von Unternehmen, Geschäftsleuten und Privatpersonen zu infizieren. Experten der Cybersecurityfirma eSentire nennen die Methode dahinter „raffiniert“ und den Backdoor-Trojaner „sehr tödlich“. Sie sei nicht ganz neu, aber der Verbreitungsweg funktioniere in diesen Zeiten besonders gut, konstatieren US-Medien.
Eine Gruppe namens „Golden Chickens“ soll momentan die Kampagne ausführen. Dabei sollen Geschäftsleute dazu verleitet werden, auf Jobangebote zu klicken, die den selben Titel wie den eigenen tragen. Das heißt, ein Senior Account Manager erhält eine direkte Nachricht, in der ihm eine Stelle als Senior Account Manager angeboten wird. Wer auf den Link klickt, lädt eine fast gleichnamige Zip-Datei herunter, in unserem Beispiel „Senior Account Manager“, der das Wort „position“ angehängt wird. Die Datei „Senior Account Manager position.zip“ enthält eine dateilose Malware namens „more_eggs“, die sich nach dem Download automatisch installiert. Zur Ablenkung präsentiert der Download eine Word-Datei, die einem Bewerbungsdokument ähnelt. Die Forscher konstatieren der Methode eine hohe Gefährlichkeit, da sie auf reguläre Windows-Prozesse setzt und daher schwer von Sicherheitsprogrammen identifiziert werden kann. t3n veröffentlichte kürzlich Hinweise, um generell die Infektionsgefahr zu minimieren.
More_eggs stellt einen Backdoor-Trojaner dar, über den Kriminelle weitere Malware auf dem Computer installieren können. Die Sicherheitsexperten gehen davon aus, dass die Golden Chickens More_eggs als Malware-as-a-service (MaaS) verkaufen. Das heißt, sie bieten anderen Gruppen die Zugänge an, damit diese weitere, spezialisierte Malware auf den Computer installieren können: Ransomware oder Banking-Malware zum Beispiel. Alternativ lässt sich die Hintertür natürlich auch zur Extraktion von Daten aus dem jeweiligen Netzwerk nutzen.
Die Forscher haben nicht herausgefunden, wer oder was hinter der Kampagne von Golden Chickens steckt. Allerdings gibt es Parallelen zu ähnlichen Vorgängen, bei denen Online-Shops das Ziel waren. Die Kriminellen hatten gezielt Mitarbeiter bestimmter Firmen mit gefälschten Jobangeboten geködert und über deren Zugänge die Online-Shops anvisiert. Golden Chickens wird mit weiteren Gruppen in Zusammenhang gebracht. FIN6 ist eine Cybercrime-Gruppe, die in erster Linie Daten von Kredit- und Girokarten ausspäht und weiterverkauft. E-Commerce-Firmen sollen auch bei der aktuellen Kampagne verstärkt betroffen sein. Die Gruppe Evilnum hat sich auf das Sammeln von Finanzinformationen, vor allem von Fintech-Unternehmen und ihren Kunden, spezialisiert. Auch sie hat gezielt Mitarbeiter über more_egg-Trojaner angegriffen. Dasselbe gilt für die Cobalt-Group, die es ebenfalls auf Finanzunternehmen abgesehen hat.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team