Mutmaßlich nordkoreanischer Hintergrund
Fake-Jobangebote für Software-Entwickler auf LinkedIn
Eine aktive Kampagne mit gefälschten Jobangeboten gibt es derzeit auf LinkedIn. Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer über einen Link bösartigen Code für eine Backdoor, einen Infostealer, einen Keylogger und einen Kryptominer.
Die Social-Media-Plattform LinkedIn wird zunehmend Schauplatz von gezielten Attacken auf ihre Mitglieder. Jobangebote für qualifizierte Mitarbeiter sind dabei ein geeignetes Mittel, um Malware zu streuen und Unternehmen anzugreifen. Die Bitdefender Labs beobachten beispielsweise Angriffe auf Software-Entwickler, die den Cyberkriminellen weitreichende Aktionsmöglichkeiten erschließen können.
LinkedIn ist nicht nur eine Plattform zum Austausch und zur Suche nach Experten. Viele Cyberkriminelle nutzen zunehmend die Glaubwürdigkeit des Mediums für ihre Zwecke. Auch Operatoren mit staatlichem Hintergrund starten Phishing-Kampagnen oder streuen falsche Jobangebote, um bösartigen Code zu verbreiten.
Bei der aktuellen Kampagne wenden sich die Hacker mit einem lukrativen Angebot an Entwickler, die sich an einem Projekt zu einer dezentralen Austauschplattform für Kryptowährungen beteiligen sollen. Andere Varianten des in vielen Punkten vagen Angebots beziehen sich auf Projekte um Reise- oder Finanz-Domänen. Im Verlauf der vermeintlichen Bewerbung verlangen die Angreifer nach einem Lebenslauf oder einem persönlichen Github-Repository-Link, um bereits persönliche Daten des Opfers zu sammeln und zugleich den Bewerbungsprozess glaubwürdig zu gestalten.
Anschließend senden die Hacker ihrerseits ein Repository mit dem „Minimum Viable Product“ (MVP), also der Erstversion des Produktes zur Beurteilung, und bitten um erstes Feedback. Nach ihrer Meinung gefragt müssen die Opfer die angebliche Demoversion ausführen. Tatsächlich erhalten sie dann einen Infostealer, der nach Browser-Erweiterungen mit Bezug auf verschiedene Kryptowallets sucht. In der Folge sammelt die JavaScript-Malware Dateien und einschlägige Krypto-Login-Daten. Zudem führt sie ein Python-Skript aus, die zahlreiche weitere bösartige Aktionen ermöglicht. Hacker können damit unter anderem Tastatureingaben aufzeichnen, eine persistente Verbindung zum Netz des Opfers aufbauen und weitere Kommandos übermitteln, sowie Dateien und Informationen zum Wiedererkennen des angegriffenen Systems exfiltrieren. Dabei nutzen die Angreifer zahlreiche verschiedene Extraktionsmöglichkeiten wie HTTP, Tor oder IP-Adressen unter Kontrolle der Angreifer.
Mutmaßlich nordkoreanischer Hintergrund
Die Analyse der Malware und das taktische Vorgehen der Angreifer spricht für Cyberkriminelle mit staatlichem, nordkoreanischem Hintergrund. Die Urheber der Attacke haben Verbindungen zu Akteuren wie der Lazarus Group (APT 38).
Die Bitdefender Labs warnen Entwickler vor solchen Angeboten und geben folgende Tipps und Hinweise:
- Insbesondere bei unklaren Job-Angeboten sollten Interessenten auf keinen Fall innerhalb der Plattform antworten.
- Repositories mit zufällig generierten Namen oder mangelhafter Dokumentation sind verdächtig.
- Häufige Schreibfehler sollten Verdacht erregen.
- Wenn die Gegenseite alternative Kontaktmöglichkeiten – wie Mail oder Telefon eines Unternehmens – verweigert, ist Vorsicht geboten.
- Nicht verifizierter Code sollte nur auf virtuellen Maschinen, Online-Plattformen sowie in einer Sandbox auf einem privaten Rechner auf seine Betriebssicherheit getestet werden – niemals auf einem Unternehmensrechner.
- Lösungen für private Anwender wie etwa Bitdefender Scamio erkennen KI-basiert betrügerische Links und können für zusätzliche Sicherheit sorgen.
Weitere Informationen finden Sie im vollständigen Untersuchungsbericht hier.
Lesen Sie mehr zum Thema
