Malware Kampgane

Zscaler enttarnt Agent Tesla-Kampagne, die auf Jobsuchende in LinkedIn abzielt

Zscaler enttarnt Agent Tesla-Kampagne, die auf Jobsuchende in LinkedIn abzielt

Die aktuelle Pandemie kostet weltweit Arbeitsplätze und führt dazu, dass sich Arbeitssuchende auf online Job-Plattformen über Stellenangebote informieren. Besonders LinkedIn ist ein beliebtes Tool, um nach neuen Stellen zu suchen und erste Kontakte mit dem potenziellen neuen Arbeitgeber zu knüpfen. Umso ärgerlicher ist es für die Arbeitssuchenden, wenn nicht der Traumjob auf sie wartet, sondern Malware, die es auf ihre digitale Identität abgesehen hat.

Die Security-Forscher des ThreatLabZ-Teams haben eine Kampagne mit der Ransomware Agent Tesla aufgedeckt, die auf LinkedIn-Nutzer auf Jobsuche abzielt. Sie beobachteten Netzwerkaktivitäten auf einer Webseite, die LinkedIn als Köder für Social-Engineering nutzt. Die Aktivitäten zielen darauf ab, die Zugangsdaten eines Benutzers zu stehlen und bösartige Binärdateien zu verbreiten. Die Cyberkriminellen verwendet dafür eine legitime Hosting-Seite namens Yola, über die .NET-basierte Binärdateien im Zusammenhang mit der Agent Tesla-Malware und einer weiteren, bisher noch unbekannten Malware-Familie verbreitet werden. Die Hauptfunktionalität besteht im Informationsdiebstahl und in der Exfiltration von Daten über SMTP.

Die folgende Abbildung zeigt die über Yola gehostete Webseite an:

Abbildung 1 Die Webseite verwendet das LinkedIn-Logo, hostet aber tatsächlich Malware.

Die Webseite verwendet das bekannte LinkedIn-Logo und gibt sich als eine Personalvermittlungsfirma namens „Jobsfinder 3ee“ aus, die vorgibt, Kandidaten bei der Suche nach relevanten Stellen in verschiedenen Regionen weltweit behilflich zu sein. Die Download-Links auf der Webseite führen allerdings zu einem ZIP-Archiv, das die infostealer.NET-basierte Binärdatei enthält.

Im Laufe der Überprüfung dieser Kampagne stellten die Sicherheitsforscher fest, dass die Download-Links auf der Webseite häufig aktualisiert wurden. So wurden Anfang August beispielsweise die ZIP-Archive auf dem Server durch Passwort-geschütze Archive ersetzt. Zusätzlich zu den auf der Seite gehosteten Binärdateien hat das Opfer auch die Möglichkeit, einen Lebenslauf hochzuladen. Wenn der Benutzer auf diese Schaltfläche klickt, wird er zu einer Phishing-Website weitergeleitet, die seine Credentials abgreift.

Diese Webseite fälscht die LinkedIn-Anmeldeseite wie in Abbildung 2 dargestellt.

Abbildung 2: Die Phishing-Seite ist so gestaltet, dass sie wie die LinkedIn-Login-Seite aussieht.

Bei dieser Malware-Kampagne kommt ein mehrstufiger Social Engineering-Angriff zum Einsatz. Sobald die Anmeldeinformationen vom Benutzer eingegeben wurden, wird eine neue Webseite angezeigt, die den Benutzer zur Eingabe der folgenden Informationen auffordert:

  • Lebenslauf hochladen
  • Land
  • Mobiltelefon-Nummer

Zusammenfassung

Die Cyberkriminellen zielen speziell auf LinkedIn-Benutzer ab und haben im Rahmen der Kampagne eine umfangreiche Web- und E-Mail-Infrastruktur aufgebaut. Wie immer sollten Benutzer Vorsicht walten lassen, wenn sie unaufgefordert E-Mails erhalten, auch wenn diese scheinbar im Zusammenhang mit relevanten Informationen stehen, wie in diesem Beispiel Hilfestellung bei der Jobsuche. Die Zscaler Cloud Sandbox und die Cloud Security Plattform erkennt die Anzeichen dieser Kampagne auf mehreren Ebenen und bietet Anwendern Schutz.

Mehr über die Kampagne und die technische Analyse der Malware ist auf dem Originalblog nachzulesen: https://www.zscaler.com/blogs/research/linkedin-job-seeker-phishing-campaign-spreads-agent-tesla