Das Cybersicherheitsunternehmen Eset hat eine Malware-Kampagne aufgedeckt, die mit einem gefälschten Jobangebot auf LinkedIn begann. Wie man sich verteidigen kann
Es gibt "massenhafte" Hackerangriffe und es gibt maßgeschneiderte Angriffe, die genau auf bestimmte Nutzergruppen abzielen und für den Angreifer sehr profitabel sein können. Entweder wegen der Informationen, die ihnen gestohlen werden können, oder wegen des Geldes, das die Hacker ihnen abnehmen könnten. Eset entdeckte eine Kampagne dieses zweiten Typs und nannte sie "In(ter)ception".
Im Gegensatz zu vielen anderen Malware-basierten Angriffen, die an Tausende von Personen und Geräten gesendet wurden, funktionierte In(ter)ception anders: Bestimmte Nutzer mit hochrangigen Jobprofilen wurden ausgewählt und über LinkedIn wurden (über gefälschte Profile) gefälschte Jobangebote für zwei berühmte amerikanische Luft- und Raumfahrtunternehmen versendet. Collins Aerospace und General Dynamics. Eset entdeckte diese verdächtigen Aktivitäten zwischen September und Dezember 2019, und die Zielnutzer des Angriffs waren meist Europäer oder aus dem Nahen Osten. Dank der Zusammenarbeit zwischen Eset und den beiden amerikanischen Unternehmen konnten diese Angriffsversuche unterbunden werden.
In(ter)ception: So funktionierte der Angriff
Der erste Schritt der In(ter)ception-Hackerkampagne bestand darin, gefälschte LinkedIn-Profile von Nutzern zu erstellen, die sich als Personalverantwortliche eines der beiden Luft- und Raumfahrtunternehmen ausgaben. Der zweite Schritt war die Auswahl des Opfers, das dann per privater Nachricht mit einem sehr attraktiven Jobangebot in dem Unternehmen kontaktiert wurde.
In dieser Phase war der Angriff keineswegs automatisiert, sondern "handgemacht": Ein Hacker chattete selbst mit dem Opfer, um es davon zu überzeugen, das Jobangebot anzunehmen, einschließlich eines sehr guten Gehalts. Und das Gehalt war der Köder: Das Opfer erhielt eine passwortgeschützte Rar-Datei, die eine job.offer.lnk-Datei enthielt, die den bösartigen Code ausführte, bevor die PDF-Datei angezeigt wurde (in der der Benutzer das Angebot des Unternehmens finden sollte). Unter dem Deckmantel eines Jobangebots wurde dann Malware auf den PC des Opfers heruntergeladen.
In(ter)ception: Was war in Gefahr
Bei der auf der Festplatte des Opfers deponierten Malware handelte es sich laut Eset in erster Linie um Spyware, die in regelmäßigen Abständen Daten vom infizierten Computer an verschiedene Remote-Server sendete. Aufgrund der ausgeklügelten Techniken, die von der Malware verwendet werden, war Eset jedoch leider nicht in der Lage herauszufinden, welche Informationen vom Computer des Opfers extrahiert wurden. In einem Fall gab es jedoch auch einen E-Mail-Betrugsversuch, der fehlschlug, weil der Zielnutzer misstrauisch wurde.