Spear-Phishing-Angriff auf Personalverantwortliche: : Malware statt Bewerbungen
Eine gezielte Spear-Phishing-E-Mail-Kampagne macht aktuell Jagd auf Personalvermittler. Im Fokus steht eine JavaScript-Hintertür namens More_eggs, die sich als vermeintliche Bewerbung tarnt und so unbemerkt in Firmensysteme eindringt. Diese raffinierte Masche zeigt einmal mehr, wie Cyberkriminelle mit immer ausgefeilteren Methoden versuchen, den Personalsektor zu infiltrieren und sensible Daten zu erbeuten.
„Ein raffinierter Spear-Phishing-Angriff lockte einen Personalverantwortlichen dazu, eine als Lebenslauf getarnte Schadsoftware herunterzuladen und auszuführen. Dadurch wurde das System mit der More_eggs Backdoor infiziert“, wie Trend Micro Sicherheitsexperten Ryan Soliven, Maria Emreen Viray und Fe Cureg berichten.
More_eggs ist eine Malware, die als Malware-as-a-Service (MaaS) angeboten wird. Sie kann Anmeldeinformationen abfangen, einschließlich solcher für Online-Bankkonten und IT-Administratorkonten. Die Software wird der Gruppe Golden Chickens zugeschrieben und wurde von anderen Cyberkriminellen wie FIN6 (aka ITG08), Cobalt und Evilnum genutzt.
Ein ähnlicher Angriff wurde bereits im Juni 2024 von eSentire dokumentiert, wobei gefälschte Lebensläufe über LinkedIn verbreitet wurden. Diese Lebensläufe waren tatsächlich bösartige Windows-Verknüpfungsdateien (LNK), die beim Öffnen den Infektionsprozess starteten.
Die neuesten Erkenntnisse von Trend Micro zeigen jedoch, dass die Angreifer diesmal auf personalisierte Spear-Phishing-E-Mails setzten, um Vertrauen aufzubauen. Der Angriff wurde Ende August 2024 beobachtet und richtete sich gegen eine Fachkraft, die im Ingenieurbereich nach Talenten suchte.
Kurz darauf lud ein Personalverantwortlicher eine vermeintliche Bewerbung mit dem Namen John Cboins.zip über eine URL in Google Chrome herunter, berichteten die Experten. Es konnte nicht ermittelt werden, woher der Nutzer die URL hatte. Aus den Aktivitäten der beiden betroffenen Personen ging jedoch klar hervor, dass sie nach einem Vertriebsingenieur suchten.
Die fragliche URL, johncboins[.]com, enthält eine Schaltfläche mit der Aufschrift „Lebenslauf herunterladen“, die das Opfer dazu verleiten soll, eine ZIP-Datei mit einer LNK-Datei herunterzuladen. Es ist erwähnenswert, dass eSentire einen ähnlichen Angriff gemeldet hat, bei dem eine identische Website mit einer ähnlichen Schaltfläche die direkte LNK-Datei zum Download anbietet.
Ein Doppelklick auf die LNK-Datei führt zur Ausführung verschleierter Befehle, die eine bösartige DLL starten. Diese DLL sorgt wiederum dafür, dass die More_eggs Backdoor über einen Launcher auf das System gelangt.
More_eggs beginnt seine Aktivitäten, indem es überprüft, ob es mit Administrator- oder Benutzerrechten ausgeführt wird. Anschließend führt es eine Reihe von Befehlen aus, um den kompromittierten Host zu erkunden. Danach sendet es ein Signal an einen Command-and-Control-Server (C2), um weitere Malware-Nutzdaten zu empfangen und auszuführen.
Trend Micro beobachtete eine weitere Variante der Kampagne, die PowerShell- und Visual Basic Script (VBS)-Komponenten in den Infektionsprozess einbindet.
Die Zuordnung dieser Angriffe ist aufgrund des Konzepts von Malware-as-a-Service (MaaS) schwierig. Dieses Modell ermöglicht es, verschiedene Teile des Angriffs und die dazugehörige Infrastruktur auszulagern. Dadurch wird es kompliziert, bestimmte Bedrohungsakteure zu identifizieren, da mehrere Gruppen dieselben Werkzeuge und Infrastrukturen nutzen können, wie sie beispielsweise von Golden Chickens angeboten werden.
Dennoch vermutet Trend Micro, dass der Angriff von der Gruppe FIN6 stammen könnte, da die verwendeten Taktiken, Techniken und Verfahren (TTPs) darauf hindeuten.
Vor kurzem enthüllte HarfangLab Details zu PackXOR, einem speziellen Verschlüsselungstool, das von der Cybercrime-Gruppe FIN7 verwendet wird. Dieses Tool wird eingesetzt, um das AvNeutralizer-Programm zu verschlüsseln und zu tarnen, was dessen Entdeckung erschwert.
Das französische Cybersicherheitsunternehmen berichtete, dass derselbe Packer auch zum Schutz von „unabhängigen Nutzlasten“ wie dem XMRig-Kryptowährungsminer und dem r77-Rootkit verwendet wurde, was darauf hindeutet, dass er möglicherweise auch von anderen Bedrohungsakteuren genutzt wird. „Die Entwickler von PackXOR könnten zwar mit der FIN7-Gruppe in Verbindung stehen, aber der Packer scheint auch für Aktivitäten verwendet zu werden, die nichts mit FIN7 zu tun haben“, erklärte HarfangLab.
Es wurde festgestellt, dass FIN7-Akteure ein Netzwerk von sieben Honeypot-Domains betreiben. Diese Seiten locken Nutzer an, die nach KI-basierten „Deepnude“-Generatoren suchen, und verleiten sie dazu, Malware wie Lumma Stealer, Redline Stealer und D3F@ck Loader herunterzuladen. Diese Schadsoftware kann sensible Daten stehlen oder für nachfolgende Ransomware-Angriffe genutzt werden.
Das Cybersicherheitsunternehmen Silent Push entdeckte zudem laufende FIN7-Kampagnen, bei denen NetSupport RAT über gefälschte Websites verbreitet wird. Diese Websites fordern die Besucher dazu auf, eine schädliche Browsererweiterung zu installieren, um Zugriff auf bestimmte Inhalte zu erhalten. Die Seiten geben sich dabei als vertrauenswürdige Marken wie SAP Concur, Microsoft, Thomson Reuters und FINVIZ aus.
Die FIN7-Honeypots, die auf KI-basierte Deepfake-Angebote setzen, leiten ahnungslose Nutzer, die auf den „Kostenloser Download“-Button klicken, auf eine neue Domain weiter, die einen Dropbox-Link oder eine andere Quelle mit einer bösartigen Datei enthält. Es wird vermutet, dass FIN7 SEO-Taktiken einsetzt, um ihre Honeypots in den Suchergebnissen höher zu platzieren.