Mit gefälschten Jobangeboten über Linkedin lockt eine Masche, um die Rechner von Unternehmen, Geschäftsleuten und Privatpersonen zu infizieren. Experten der Cybersecurityfirma eSentire nennen die Methode dahinter „raffiniert“ und den Backdoor-Trojaner „sehr tödlich“. Sie sei nicht ganz neu, aber der Verbreitungsweg funktioniere in diesen Zeiten besonders gut, konstatieren US-Medien.
Jobangebot mit Position des Opfers
Eine Gruppe namens „Golden Chickens“ soll momentan die Kampagne ausführen. Dabei sollen Geschäftsleute dazu verleitet werden, auf Jobangebote zu klicken, die den selben Titel wie den eigenen tragen. Das heißt, ein Senior Account Manager erhält eine direkte Nachricht, in der ihm eine Stelle als Senior Account Manager angeboten wird. Wer auf den Link klickt, lädt eine fast gleichnamige Zip-Datei herunter, in unserem Beispiel „Senior Account Manager“, der das Wort „position“ angehängt wird. Die Datei „Senior Account Manager position.zip“ enthält eine dateilose Malware namens „more_eggs“, die sich nach dem Download automatisch installiert. Zur Ablenkung präsentiert der Download eine Word-Datei, die einem Bewerbungsdokument ähnelt. Die Forscher konstatieren der Methode eine hohe Gefährlichkeit, da sie auf reguläre Windows-Prozesse setzt und daher schwer von Sicherheitsprogrammen identifiziert werden kann. t3n veröffentlichte kürzlich Hinweise, um generell die Infektionsgefahr zu minimieren.
Tür und Tor für Kriminelle geöffnet
More_eggs stellt einen Backdoor-Trojaner dar, über den Kriminelle weitere Malware auf dem Computer installieren können. Die Sicherheitsexperten gehen davon aus, dass die Golden Chickens More_eggs als Malware-as-a-service (MaaS) verkaufen. Das heißt, sie bieten anderen Gruppen die Zugänge an, damit diese weitere, spezialisierte Malware auf den Computer installieren können: Ransomware oder Banking-Malware zum Beispiel. Alternativ lässt sich die Hintertür natürlich auch zur Extraktion von Daten aus dem jeweiligen Netzwerk nutzen.
Kriminelle Gruppen mit Vorliebe für den Finanz-Sektor
Die Forscher haben nicht herausgefunden, wer oder was hinter der Kampagne von Golden Chickens steckt. Allerdings gibt es Parallelen zu ähnlichen Vorgängen, bei denen Online-Shops das Ziel waren. Die Kriminellen hatten gezielt Mitarbeiter bestimmter Firmen mit gefälschten Jobangeboten geködert und über deren Zugänge die Online-Shops anvisiert. Golden Chickens wird mit weiteren Gruppen in Zusammenhang gebracht. FIN6 ist eine Cybercrime-Gruppe, die in erster Linie Daten von Kredit- und Girokarten ausspäht und weiterverkauft. E-Commerce-Firmen sollen auch bei der aktuellen Kampagne verstärkt betroffen sein. Die Gruppe Evilnum hat sich auf das Sammeln von Finanzinformationen, vor allem von Fintech-Unternehmen und ihren Kunden, spezialisiert. Auch sie hat gezielt Mitarbeiter über more_egg-Trojaner angegriffen. Dasselbe gilt für die Cobalt-Group, die es ebenfalls auf Finanzunternehmen abgesehen hat.