LinkedIn misbruikt voor phishing-campagne die malware Agent Tesla verspreidt

| Zscaler | 2 min | 11 september 2020 10:34
Foto: Site van de aanvallers legitieme website-hostingserver van Yola. | Copyright: Zscaler
Het Zscaler ThreatLabZ-team heeft een kwaadaardige activiteit ontdekt in de Zscaler-cloud die LinkedIn als lokmiddel gebruikt. Zscaler stuitte op netwerkactiviteit op een site waarop men tracht de inloggegevens van gebruikers te stelen en kwaadaardige binaire bestanden te verspreiden. De aanvallers gebruikten ook een legitiem hosting-bedrijf, genaamd Yola, om de kwaadaardige inhoud te hosten, waarmee ze probeerden er zo legitiem mogelijk uit te zien. De .NET-gebaseerde binaire bestanden die op deze site worden gehost, zijn gerelateerd aan de Agent Tesla-malware en een andere voorheen ongeziene in het wild levende malware-familie. De belangrijkste functionaliteit is het stelen van informatie en het exfiltreren van gegevens via SMTP.

De website maakt gebruik van het bekende LinkedIn-logo en doet zich voor als een recruitment-bedrijf genaamd ‘Jobsfinder 3ee’ dat beweert kandidaten te helpen bij het vinden van relevante vacatures in verschillende regio's over de hele wereld. De downloadlinks op de website leiden echter naar een ZIP-archief dat het op Infostealer.NET gebaseerde binaire bestand bevat.

Tijdens het beoordelen van de campagne ontdekten de onderzoekers dat de downloadlinks op de website regelmatig werden bijgewerkt. Zo zijn begin augustus de ZIP-archieven op de server vervangen door wachtwoordbeveiligde archieven. Naast de binaire bestanden die op de site worden gehost, heeft het slachtoffer ook de mogelijkheid een ??cv te uploaden. Wanneer de gebruiker op deze knop klikt, wordt hij doorgestuurd naar een phishing-site die zijn inloggegevens steelt. Deze website vervalst de inlogpagina van LinkedIn, zoals weergegeven in de onderstaande afbeelding.


Afbeelding: De phishing-pagina is ontworpen om eruit te zien als de LinkedIn-inlogpagina.

In deze malware-campagne wordt een meerfasige social engineering-aanval gebruikt. Nadat de inloggegevens door de gebruiker zijn ingevoerd, verschijnt een nieuwe webpagina waarin de gebruiker wordt gevraagd de volgende informatie in te voeren:
  • Upload je CV
  • Land
  • Mobiele telefoonnummer

Zscaler Cloud Sandbox en Cloud Security Platform

De cybercriminelen richten zich specifiek op LinkedIn-gebruikers en hebben als onderdeel van de campagne een uitgebreide web- en e-mailinfrastructuur opgebouwd. Zscaler adviseert gebruikers altijd voorzichtig te zijn bij het ontvangen van ongevraagde e-mails, zelfs als deze gerelateerd lijken te zijn aan relevante informatie, zoals hulp bij het zoeken naar een baan. De Zscaler Cloud Sandbox en het Cloud Security Platform herkennen de kenmerken van deze campagne op verschillende niveaus en bieden gebruikers bescherming.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Over Zscaler

Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.

Disclaimer

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030101402.jpg
De grootste Nederlandse site over Android
20191030102114.jpg
Deliver measurable impact on your business
20191029200614.jpg
Drive value with data
20191030104037.png
Bringing cultures together and make your team work!
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191105203105.png
Krijg inzicht in bedrijfsprocessen!
Alle rechten voorbehouden © 2019-2020, TechVisor