Bitdefender hat eine derzeit aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn aufgedeckt. Das Bewerbungsverfahren nutzen die Hintermänner, um per Link bösartigen Code für eine Backdoor, einen Infostealer, einen Keylogger und einen Kryptominer zu verbreiten.
Dabei nutzen die Cyberkriminellen laut Bitdefender die Glaubwürdigkeit der Plattform LinkedIn. Auch Bedrohungsakteure mit staatlichem Hintergrund starteten Phishing-Kampagnen oder streuten falsche Jobangebote, um Schadcode zu verteilen.
„Bei der aktuellen Kampagne wenden sich die Hacker mit einem lukrativen Angebot an Entwickler, die sich an einem Projekt zu einer dezentralen Austauschplattform für Kryptowährungen beteiligen sollen“, teilte Bitdefender mit. „Andere Varianten des in vielen Punkten vagen Angebots beziehen sich auf Projekte um Reise- oder Finanz-Domänen. Im Verlauf der vermeintlichen Bewerbung verlangen die Angreifer nach einem Lebenslauf oder einem persönlichen Github -Repository-Link, um bereits persönliche Daten des Opfers zu sammeln und zugleich den Bewerbungsprozess glaubwürdig zu gestalten.“
Anschließend senden die Hacker der Analyse zufolge ihrerseits ein Repository mit dem „Minimum Viable Product“ (MVP), also der Erstversion des Produktes zur Beurteilung, und bitten um erstes Feedback. Nach ihrer Meinung gefragt müssten die Opfer die angebliche Demoversion ausführen. Tatsächlich erhielten sie dann einen Infostealer, der nach Browser-Erweiterungen mit Bezug auf verschiedene Kryptowallets suche.
In der Folge sammele die JavaScript-Malware Dateien und einschlägige Krypto-Login-Daten. Zudem führe sie ein Python-Skript aus, das zahlreiche weitere bösartige Aktionen ermögliche. Hacker könnten damit unter anderem Tastatureingaben aufzeichnen, eine persistente Verbindung zum Netz des Opfers aufbauen und weitere Kommandos übermitteln, sowie Dateien und Informationen zum Wiedererkennen des angegriffenen Systems exfiltrieren. Dabei nutzten die Angreifer zahlreiche verschiedene Extraktionsmöglichkeiten wie HTTP, Tor oder IP-Adressen unter Kontrolle der Angreifer.
Das taktische Vorgehen der Angreifer legt nach Einschätzung von Bitdefender nahe, dass die Cyberkriminellen einen staatlichen, nordkoreanischen Hintergrund haben. Sie hätten zudem Verbindungen zu Akteuren wie der Lazarus Group (APT 38). Der Sicherheitsanbieter rät zudem zur Vorsicht bei unklaren Job-Angeboten. Zudem sollte nicht verifizierter Code nur auf virtuellen Maschinen, Online-Plattformen sowie in einer Sandbox auf seine Betriebssicherheit getestet werden.
Neueste Kommentare
Noch keine Kommentare zu Gefälschte Jobangebote auf LinkedIn verbreiten Malware
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.