Zscaler enttarnt Agent-Tesla-Kampagne, die auf Jobsuchende bei Linkedin abzielt

Die aktuelle Pandemie kostet weltweit Arbeitsplätze und führt dazu, dass sich Arbeitssuchende auf Online-Job-Plattformen über Stellenangebote informieren. Besonders Linkedin ist ein beliebtes Tool, um nach neuen Stellen zu suchen und erste Kontakte mit dem potenziellen neuen Arbeitgeber zu knüpfen. Umso ärgerlicher ist es für die Arbeitssuchenden, wenn nicht der Traumjob auf sie wartet, sondern Malware, die es auf ihre digitale Identität abgesehen hat.

Die Sicherheitsforscher des ThreatLabZ-Teams haben eine Kampagne mit der Ransomware „Agent Tesla“ aufgedeckt, die auf Linkedin-Nutzer auf Jobsuche abzielt. Sie beobachteten Netzwerkaktivitäten auf einer Webseite, die Linkedin als Köder für Social-Engineering nutzt. Die Aktivitäten zielen darauf ab, die Zugangsdaten eines Benutzers zu stehlen und bösartige Binärdateien zu verbreiten. Die Cyberkriminellen verwendet dafür eine legitime Hosting-Seite namens Yola, über die .NET-basierte Binärdateien im Zusammenhang mit der Agent-Tesla-Malware und einer weiteren, bisher noch unbekannten Malware-Familie verbreitet werden. Die Hauptfunktionalität besteht im Informationsdiebstahl und in der Exfiltration von Daten über SMTP.

Die Webseite verwendet das bekannte Linkedin-Logo und gibt sich als eine Personalvermittlungsfirma namens „Jobsfinder 3ee“ aus, die vorgibt, Kandidaten bei der Suche nach relevanten Stellen in verschiedenen Regionen weltweit behilflich zu sein. Die Download-Links auf der Webseite führen allerdings zu einem ZIP-Archiv, das die Infostealer.NET-basierte Binärdatei enthält.

Beispiel-URL: hxxps://linkedlnnetworking.yolasite.com/ressources/Download%20Job-Beschreibung%20%26%20Firma%20details.zip

Im Laufe der Überprüfung dieser Kampagne stellten die Sicherheitsforscher fest, dass die Download-Links auf der Webseite häufig aktualisiert wurden. So wurden Anfang August beispielsweise die ZIP-Archive auf dem Server durch Passwort-geschütze Archive ersetzt. Zusätzlich zu den auf der Seite gehosteten Binärdateien hat das Opfer auch die Möglichkeit, einen Lebenslauf hochzuladen. Wenn der Benutzer auf diese Schaltfläche klickt, wird er zu einer Phishing-Website weitergeleitet, die seine Credentials abgreift.

Bei dieser Malware-Kampagne kommt ein mehrstufiger Social-Engineering-Angriff zum Einsatz. Sobald die Anmeldeinformationen vom Benutzer eingegeben wurden, wird eine neue Webseite angezeigt, die den Benutzer zur Eingabe der folgenden Informationen auffordert:

  • Lebenslauf hochladen
  • Land
  • Mobiltelefon-Nummer

Zusammenfassung

Die Cyberkriminellen zielen speziell auf Linkedin-Benutzer ab und haben im Rahmen der Kampagne eine umfangreiche Web- und E-Mail-Infrastruktur aufgebaut. Wie immer sollten Benutzer Vorsicht walten lassen, wenn sie unaufgefordert E-Mails erhalten, auch wenn diese scheinbar im Zusammenhang mit relevanten Informationen stehen, wie in diesem Beispiel Hilfestellung bei der Jobsuche. Die Zscaler-Cloud-Sandbox und die Cloud-Security-Plattform erkennt die Anzeichen dieser Kampagne auf mehreren Ebenen und bietet Anwendern Schutz.

Mehr über die Kampagne und die technische Analyse der Malware ist auf dem Originalblog nachzulesen: https://www.zscaler.com/blogs/research/linkedin-job-seeker-phishing-campaign-spreads-agent-tesla

#Zscaler