„Szukam pracy”. Ciekawa metoda kradzieży danych

Uzyskanie dostępu do cennych danych jest jednym z głównych celów hakerów. Przykładowo, pod koniec maja na naszych łamach przedstawialiśmy przypadek, gdy północnokoreańscy pracownicy IT brali udział w procesach rekrutacyjnych firm z państw zachodnich (w tym polskich), podając się za obywateli innych krajów. Pozyskiwali w ten sposób cenne dane, jak również pieniądze dla reżimu.

Malware zamiast CV

Atakujący wyciągają wnioski z działań konkurencji i odpowiednio adaptują swoje operacje. Najnowszy raport DomainTools wskazuje, że grupa Skeleton Spider (FIN6) postanowiła nieco zmodyfikować postępowanie północnokoreańskich hakerów. W najnowszej kampanii phishingowej podszywają się pod osoby szukające pracy.

Schemat działania na pierwszy rzut oka wygląda niewinnie. Przedsiębiorstwo otrzymuje maila, w którym osoba zgłasza swoje zainteresowanie pracą na danym stanowisku. Jednakże, zamiast załączać swoje CV, autor wiadomości informuje, że stworzył swoją osobistą stronę internetową i to na niej podane są wszystkie szczegóły.

Po wejściu na podany adres, odwiedzający musi wykonać weryfikację CAPTCHA, aby pobrać plik oznaczony jako CV. W rzeczywistości jednak jest to archiwum .zip, w którym znajduje się złośliwy plik .lnk zawierający malware nazwane „more\eggs”, które m.in. wykrada dane logowania.

Ukryte mechanizmy sprawdzające

Bliższe przyjrzenie się sprawie odsłania interesujące szczegóły. Hakerzy w swojej wiadomości nie dodają hiperlinków, wymuszając na potencjalnej ofierze przepisanie adresu ręcznie do paska adresu. Dzięki temu, mail nie zostanie wykryty jako podejrzany przez automatyczne systemy bezpieczeństwa.

Same strony są postawione na domenach zarejestrowanych anonimowo, które składają się z imion i nazwisk rzekomych aplikantów. Atakujący korzystają również z usług chmurowych AWS, które umożliwiają omijanie zabezpieczeń i utrudnia odróżnienie od prawdziwych domen.

Istotnym elementem w całej układance jest mechanika, którą ukryto na stronie. Serwer sprawdza:

• IP odwiedzającego pod kątem VPN czy infrastruktury należącej do podmiotów zajmujących się cyberbezpieczeństwem, 
• geolokację, 
• system operacyjny,
• przeglądarkę. 

Archiwum z malware zostanie udostępnione do pobrania tylko w przypadku pozytywnego wyniku przy wszystkich warunkach. Jeżeli któryś z nich nie zostanie spełniony, odwiedzającemu (lub robotowi) ukaże się CV w wersji tekstowej lub błąd.

Ostrożnie przy nieznanych e-mailach

Tak jak w przypadku hiperlinku, należy zachować ostrożność i nie wchodzić na strony podane w e-mailach, nawet jeżeli wymagają przepisania adresu do paska. Taką wiadomość wystarczy usunąć ze swojej skrzynki.

Warto również pamiętać, aby nie ściągać plików .zip bez weryfikacji tychże ze strony zespołów IT w firmach. DomainTools zaleca tymże, aby m.in. zablokowali uruchamianie plików .lnk znajdujących się w archiwach .zip z niezaufanych źródeł, czy wdrożyli polityki EDR dotyczące nadużyć silnika skryptowego.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].