Personaler von Cyberkriminellen attackiert – Vorsicht vor gefährlicher Malware

Spätestens seit Oktober 2023 greift TA4557 auf eine neue Technik zurück, bei der die Gruppe Personalverantwortliche mit direkten E-Mails adressiert, um Malware zu verbreiten. [...]

Foto: MohamedHassan/Pixabay

Die initialen E-Mails sind zunächst harmlos und bekunden lediglich das Interesse an einer offenen Stelle. Wenn die Zielperson antwortet, nimmt die Angriffskette ihren Lauf.

In den Jahren 2022 und 2023 „bewarb“ sich TA4557 in der Regel auf bestehende Stellenausschreibungen und gab sich als vermeintlicher Bewerber aus. Die Angreifer ergänzten die mutmaßliche Bewerbung um bösartige URLs bzw. Dateien mit bösartigen URLs. Bei den URLs war kein Link hinterlegt, sodass der Benutzer den URL-Text kopieren und in seinen Browser einfügen musste, um die Website zu besuchen. 

In den kürzlich von den Proofpoint-Experten beobachteten Kampagnen nutzte TA4557 sowohl die neue Methode der direkten E-Mail an Personalverantwortliche als auch die ältere Technik der Bewerbung auf Stellen, die auf öffentlichen Jobbörsen ausgeschrieben waren, um die Angriffskette zu starten.

Bei der direkten E-Mail-Technik reagieren die Täter auf die Antwort des Empfängers direkt mit einer URL. Diese URL verweist auf eine von TA4557 kontrollierte Website, die als Lebenslauf eines Bewerbers getarnt ist. Proofpoint hat auch beobachtet, dass die Cyberkriminellen mit einem PDF- oder Word-Anhang antworteten, der Anweisungen zum Besuch der gefälschten Lebenslauf-Website enthielt.

Beispiel einer ersten E-Mail von TA4557, in der sich die Angreifer nach einer Stellenausschreibung erkundigen,
Abbildung 1: Beispiel einer ersten E-Mail von TA4557, in der sich die Angreifer nach einer Stellenausschreibung erkundigen (Quelle: Proofpoint GmbH)

Wenn die potenziellen Opfer, entsprechend der Anleitung der Täter, die „persönliche Website“ besuchen, imitiert die Seite den Lebenslauf eines Bewerbers oder die Job-Website des Bewerbers, der sich auf eine ausgeschriebene Stelle bewirbt.

Die Website nutzt außerdem Filter, um festzustellen, ob das Opfer den Kriterien für den Angriff entspricht. Ist das der Fall, nimmt die Angriffskette ihren Lauf, sodass mittels einer Zip-Datei die More_Eggs-Backdoor auf dem Rechner der Opfer eingerichtet wird, um einen dauerhaften Zugriff für die Angreifer zu etablieren. Andernfalls wird der Besucher auf eine Seite mit einem Lebenslauf im Klartext weitergeleitet.


Mehr Artikel

News

9 Mythen über BigQuery-Backups

BigQuery ist ein vollständig verwaltetes Data Warehouse von Google für Analysen im Petabyte-Bereich und kommt vielerorts zum Einsatz. Viele IT-Fachkräfte glauben, dass BigQuery automatisch eine vollständige Sicherung gewährleistet, doch das ist ein gefährlicher Irrtum. […]

News

Mikrosegmentierung als Basis für Zero Trust

90 Prozent der von Zero Networks befragten IT- und Sicherheitsexperten sehen Zero Trust als entscheidend für die Verbesserung ihrer Cybersicherheit an. 75 Prozent sind der Meinung, dass Mikrosegmentierung „sehr“ oder „äußerst“ wichtig ist, um Zero Trust zu erreichen. Nur fünf Prozent setzen jedoch Mikrosegmentierung bereits ein. […]

Jens Hungershausen, DSAG-Vorstandsvorsitzender (c) Deutschsprachige SAP-Anwendergruppe e. V. (DSAG)
News

DSAG-Investitionsreport 2025

Auch in diesem Jahr hat die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) wieder nach den Investitionsplanungen der Unternehmen in Deutschland, Österreich und der Schweiz gefragt. Zentrale Ergebnisse: Die generelle Investitionsbereitschaft in IT-Lösungen und auch in SAP-Lösungen steigt weiter. […]

News

Ein Schritt zu mehr digitaler Souveränität für Europa

CISPE (Cloud Infrastructure Services Providers in Europe) und Gaia-X integrieren das CISPE Gaia-X Digital Clearing House in das Gaia-X-Ökosystem. Das ermöglicht es Cloud-Kunden, Dienste auszuwählen und zu erwerben, die nachweislich den im Gaia-X Compliance-Dokument (Release 24.11) beschriebenen Richtlinien entsprechen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*