News

Phishing: Jobangebote via Linkedin mit Malware verseucht

Gruppen, die auf E-Commerce und Finanzsektor spezialisiert sind, greifen gerne auf diese Masche zurück. (Bild: Rawpixel.com/Shutterstock)

Lesezeit: 2 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Unter anderem Mitarbeiter von Fintech- und E-Commerce-Unternehmen haben eine neue Phishing-Kampagne im Visier, vor der Sicherheitsexperten aktuell warnen.


Mit gefälschten Jobangeboten über Linkedin lockt eine Masche, um die Rechner von Unternehmen, Geschäftsleuten und Privatpersonen zu infizieren. Experten der Cybersecurityfirma eSentire nennen die Methode dahinter „raffiniert“ und den Backdoor-Trojaner „sehr tödlich“. Sie sei nicht ganz neu, aber der Verbreitungsweg funktioniere in diesen Zeiten besonders gut, konstatieren US-Medien.

Jobangebot mit Position des Opfers

Eine Gruppe namens „Golden Chickens“ soll momentan die Kampagne ausführen. Dabei sollen Geschäftsleute dazu verleitet werden, auf Jobangebote zu klicken, die den selben Titel wie den eigenen tragen. Das heißt, ein Senior Account Manager erhält eine direkte Nachricht, in der ihm eine Stelle als Senior Account Manager angeboten wird. Wer auf den Link klickt, lädt eine fast gleichnamige Zip-Datei herunter, in unserem Beispiel „Senior Account Manager“, der das Wort „position“ angehängt wird. Die Datei „Senior Account Manager position.zip“ enthält eine dateilose Malware namens „more_eggs“, die sich nach dem Download automatisch installiert. Zur Ablenkung präsentiert der Download eine Word-Datei, die einem Bewerbungsdokument ähnelt. Die Forscher konstatieren der Methode eine hohe Gefährlichkeit, da sie auf reguläre Windows-Prozesse setzt und daher schwer von Sicherheitsprogrammen identifiziert werden kann. t3n veröffentlichte kürzlich Hinweise, um generell die Infektionsgefahr zu minimieren.

Tür und Tor für Kriminelle geöffnet

More_eggs stellt einen Backdoor-Trojaner dar, über den Kriminelle weitere Malware auf dem Computer installieren können. Die Sicherheitsexperten gehen davon aus, dass die Golden Chickens More_eggs als Malware-as-a-service (MaaS) verkaufen. Das heißt, sie bieten anderen Gruppen die Zugänge an, damit diese weitere, spezialisierte Malware auf den Computer installieren können: Ransomware oder Banking-Malware zum Beispiel. Alternativ lässt sich die Hintertür natürlich auch zur Extraktion von Daten aus dem jeweiligen Netzwerk nutzen.

Kriminelle Gruppen mit Vorliebe für den Finanz-Sektor

Die Forscher haben nicht herausgefunden, wer oder was hinter der Kampagne von Golden Chickens steckt. Allerdings gibt es Parallelen zu ähnlichen Vorgängen, bei denen Online-Shops das Ziel waren. Die Kriminellen hatten gezielt Mitarbeiter bestimmter Firmen mit gefälschten Jobangeboten geködert und über deren Zugänge die Online-Shops anvisiert. Golden Chickens wird mit weiteren Gruppen in Zusammenhang gebracht. FIN6 ist eine Cybercrime-Gruppe, die in erster Linie Daten von Kredit- und Girokarten ausspäht und weiterverkauft. E-Commerce-Firmen sollen auch bei der aktuellen Kampagne verstärkt betroffen sein. Die Gruppe Evilnum hat sich auf das Sammeln von Finanzinformationen, vor allem von Fintech-Unternehmen und ihren Kunden, spezialisiert. Auch sie hat gezielt Mitarbeiter über more_egg-Trojaner angegriffen. Dasselbe gilt für die Cobalt-Group, die es ebenfalls auf Finanzunternehmen abgesehen hat.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung