Het Zscaler ThreatLabZ-team heeft een kwaadaardige activiteit ontdekt in de Zscaler-cloud die LinkedIn als lokmiddel gebruikt. Zscaler stuitte op netwerkactiviteit op een site waarop men tracht de inloggegevens van gebruikers te stelen en kwaadaardige binaire bestanden te verspreiden. De aanvallers gebruikten ook een legitiem hosting-bedrijf, genaamd Yola, om de kwaadaardige inhoud te hosten, waarmee ze probeerden er zo legitiem mogelijk uit te zien.
De .NET-gebaseerde binaire bestanden die op deze site worden gehost, zijn gerelateerd aan de Agent Tesla-malware en een andere voorheen ongeziene in het wild levende malware-familie. De belangrijkste functionaliteit is het stelen van informatie en het exfiltreren van gegevens via SMTP.
De website maakt gebruik van het bekende LinkedIn-logo en doet zich voor als een recruitment-bedrijf genaamd ‘Jobsfinder 3ee’ dat beweert kandidaten te helpen bij het vinden van relevante vacatures in verschillende regio’s over de hele wereld. De downloadlinks op de website leiden echter naar een ZIP-archief dat het op Infostealer.NET gebaseerde binaire bestand bevat.
Tijdens het beoordelen van de campagne ontdekten de onderzoekers dat de downloadlinks op de website regelmatig werden bijgewerkt. Zo zijn begin augustus de ZIP-archieven op de server vervangen door wachtwoordbeveiligde archieven. Naast de binaire bestanden die op de site worden gehost, heeft het slachtoffer ook de mogelijkheid een cv te uploaden. Wanneer de gebruiker op deze knop klikt, wordt hij doorgestuurd naar een phishing-site die zijn inloggegevens steelt. Deze website vervalst de inlogpagina van LinkedIn, zoals weergegeven in afbeelding 2.
In deze malware-campagne wordt een meerfasige social engineering-aanval gebruikt. Nadat de inloggegevens door de gebruiker zijn ingevoerd, verschijnt een nieuwe webpagina waarin de gebruiker wordt gevraagd de volgende informatie in te voeren:
- Upload je CV, Land en mobiel telefoonnummer
Zscaler Cloud Sandbox en Cloud Security Platform
De cybercriminelen richten zich specifiek op LinkedIn-gebruikers en hebben als onderdeel van de campagne een uitgebreide web- en e-mailinfrastructuur opgebouwd. Zscaler adviseert gebruikers altijd voorzichtig te zijn bij het ontvangen van ongevraagde e-mails, zelfs als deze gerelateerd lijken te zijn aan relevante informatie, zoals hulp bij het zoeken naar een baan. De Zscaler Cloud Sandbox en het Cloud Security Platform herkennen de kenmerken van deze campagne op verschillende niveaus en bieden gebruikers bescherming.
