LinkedIn Nutzer von Spear Phishing Campaign bedroht

27. Mai, 2021
LinkedIn Nutzer von Spear Phishing Campaign bedroht

Eine Spear Phishing Campaign bedroht derzeit Mitglieder von LinkenIn. Sie werden dazu verleitet, auf sie auf eine bösartige ZIP-Datei zu klicken. Ziel der Angreifer ist es, einen dateilosen Backdoor-Trojaner genannt more_eggs zu installieren.

Warum die Anfang April bekannt gewordenen Phishing-Angriffe arbeitssuchende Nutzer von LinkedIn abzielen, ist nicht bekannt. Die Angriffe sind wohl durchdacht und überzeugend in der Aufmachung. Die IT-Sicherheitsfirma eSentire legte eine Analyse more_eggs Phishing-Angriffe vor.

Spear Phishing Angreifer Golden Chickens liefert more_eggs Trojaner

Die Forscher bei eSentire berichteten, dass die Hackergruppe Golden Chickens die dateilose Backdoor more_eggs über eine Spear-Phishing-Kampagne verbreitet. Die E-Mails mit gefälschten Jobangeboten richteten sich an Arbeitssuchende auf der Plattform. Die Kampagne greift auf aktuelle Stellenbezeichnung des Opfers zurück und fügt am Ende der .ZIP-Datei das Wort „Position“ hinzu. Das soll die E-Mail wie ein legitimes Job-Angebots aussehen lassen. Wer darauf hereinfällt und auf die ZIP-Datei klickt, löst eine Installation der sich ganz unauffällig selbst installierenden Backdoor aus. Wenn sich diese Backdoor more_eggs einmal installiert hat, geht sie ihrer Aufgabe nach. Sie lädt weitere Malware hoch und verschafft sich Zugang zum System des Opfers. Die eSentire Forscher fanden es befremdlich, dass die Hacker verzweifelte Arbeitssuchende während einer globalen Pandemie angreifen. Ob das nur das vordergründige Ziel der Golden Chickens-Hacker ist, ist nicht klar.

More_eggs Trojaner kann gekauft werden

Die Golden Chickens-Hacker bietet seinen more_eggs-Trojaner auch als Malware-as-a-Service zum Verkauf an. Der Trojaner sei schon bei Angriffen der Hackergruppen FIN6, Cobalt Group und Evilnum eingesetzt worden.

Die Hacker von FIN6 setzten die more_eggs-Malware 2019 gegen verschiedene E-Commerce-Unternehmen ein. Zeitgleich wurde mit more_eggs in die Online-Zahlungssysteme von Einzelhändlern, Unterhaltungs- und Pharmaunternehmen eingedrungen. Die Evilnum und Cobalt Group Hackergruppen setzen more_eggs überwiegend gegen Fintec-Unternehmen ein.

Malware wie „more_eggs“ wird zunehmende zur Verbreitung von dateiloser Malware eingesetzt. Die Angriffstechnik ist mittlerweile recht populär unter Hackern, da sie nur schwer zu erkennen ist. Die IT-Firma WatchGuard veröffentlichte einen Bericht, in dem davon gesprochen wird, das Fälle mit dateiloser Malware im letzten Jahr um das Achtfache angestiegen sind.

So lief der Angriff des Golden Chickens more_eggs Trojaner ab

Bei dem LinkedIn-Angriff konnten die Forscher folgenden Angriffsverlauf nachvollziehen:

Zuerst wurde durch Anklicken die bösartige Datei heruntergeladen und ausführt. Danach führte das Opfer ganz unwissentlich VenomLNK, eine Vorstufe des more_eggs Trojaners aus. VenomLNK war in der Lage das Windows Management zu missbrauchen. Dann aktiviert VenomLNK den Plugin-Loader der Malware. Dieser TerraLoader kaperte daraufhin legitime Windows-Prozesse wie cmstp und regsvr32.

Noch während der TerraLoader startete, wurde dem Opfer ein gefälschtes Word-Dokument angezeigt. Es sah aus wie eine legitime Stellenanzeige. Allerdings hatte es keinen eigentlich Zweck bei der weiteren Infektion, die ja schon im Hintergrund ablief. Dort war TerraLoader nämlich fleißig dabei msxsl im Roaming-Profil des Benutzers zu installieren. Anschließen lud sich die .ocx-Datei TerraPreter von Amazon Web Services herunter. Daraufhin begann TerraPreter seinen Command & Control-Server über die Rogue-Kopie von msxsl zu kontaktieren. Die more_eggs-Backdoor stand dann als Dienst für denjenigen, der sie von den Golden Chicken Hackern gemietet hatte, bereit. Dieser konnte sich dann einloggen und seiner Sache nachgehen im Opfer-Netzwerk.

Rätselraten warum gegen LinkedIn Nutzer

Hier gehen die Vermutung der Forscher wohl in die Richtung, dass die Opfer an der vordersten Front nicht das eigentliche Ziel der Hacker sind. LinkedIn Mitglieder nutzen die Plattform ja, um geschäftliche Kontakte zu knüpfen, damit sich Möglichkeiten eröffnen, lukrativere Arbeitsstellen zu finden. Daher wird vermutet, dass das Ziel der Hacker wahrscheinlich solche Mitglieder sind, die zwar noch beschäftigt, aber auf der Suche sind. Als Beschäftigte haben sie natürlich Zugang zu sensiblen Daten ihres Arbeitgebers. Und im Homeoffice läuft die private und die geschäftliche Nutzung von Geräten über dasselbe Netzwerk.

In dem von eSentire aufgedeckten Fall wurde ein Mitarbeiter in der Gesundheitsindustrie angegriffen. Womöglich rechneten sich die Hacker Chancen aus, Zugriff auf die Cloud-Infrastruktur des Unternehmens zu bekommen. Von dort aus könnten viele sensible Daten und geistiges Eigentum gestohlen werden. Denkbar ist aber auch das Szenario, wo mit dem Internet verbundene medizinische Geräte gekapert werden könnten.

Artikel von threatpost.com, 05.04.2021: LinkedIn Spear-Phishing Campaign Targets Job Hunters
Artikel von darkreading.com, 05.04.2021: LinkedIn Phishing Ramps Up With More-Targeted Attacks
Artikel von esentire.com, 05.04.2021: Hackers Spearphish Professionals on LinkedIn with Fake Job Offers, Infecting them with Malware, Warns eSentire

Beitragsbild: Public Domain, Creative Commons CC0 von inlytics | LinkedIn Analytics Tool von unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen