foto freepik

Aktive Kampagne mit Verbindungen zur nordkoreanischen Lazarus-Gruppe (APT 38).

Infostealer für Krypto-Wallets als Payload einer vermeintlichen Projekt-Demo.

Die Bitdefender Labs beobachten eine aktive Kampagne mit gefälschten Jobangeboten auf Linkedin. Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer über einen Link bösartigen Code für eine Backdoor, einen Infostealer, einen Keylogger und einen Kryptominer.

Linkedin ist nicht nur eine Plattform zum Austausch und zur Suche nach Experten. Viele Cyberkriminelle nutzen zunehmend die Glaubwürdigkeit des Mediums für ihre Zwecke. Auch Operatoren mit staatlichem Hintergrund starten Phishing-Kampagnen oder streuen falsche Jobangebote, um bösartigen Code zu verbreiten.

Bei der aktuellen Kampagne wenden sich die Hacker mit einem lukrativen Angebot an Entwickler, die sich an einem Projekt zu einer dezentralen Austauschplattform für Kryptowährungen beteiligen sollen. Andere Varianten des in vielen Punkten vagen Angebots beziehen sich auf Projekte um Reise- oder Finanz-Domänen. Im Verlauf der vermeintlichen Bewerbung verlangen die Angreifer nach einem Lebenslauf oder einem persönlichen Github-Repository-Link, um bereits persönliche Daten des Opfers zu sammeln und zugleich den Bewerbungsprozess glaubwürdig zu gestalten.

Abbildung 1: Initiale Kontaktaufnahme mit vielversprechendem, aber unklarem Jobangebot. Quelle: Bitdefender

Anschließend senden die Hacker ihrerseits ein Repository mit dem »Minimum Viable Product« (MVP), also der Erstversion des Produkts zur Beurteilung, und bitten um erstes Feedback. Nach ihrer Meinung gefragt müssen die Opfer die angebliche Demoversion ausführen. Tatsächlich erhalten sie dann einen Infostealer, der nach Browser-Erweiterungen mit Bezug auf verschiedene Kryptowallets sucht. In der Folge sammelt die JavaScript-Malware Dateien und einschlägige Krypto-Login-Daten. Zudem führt sie ein Python-Skript aus, die zahlreiche weitere bösartige Aktionen ermöglicht. Hacker können damit unter anderem Tastatureingaben aufzeichnen, eine persistente Verbindung zum Netz des Opfers aufbauen und weitere Kommandos übermitteln, sowie Dateien und Informationen zum Wiedererkennen des angegriffenen Systems exfiltrieren. Dabei nutzen die Angreifer zahlreiche verschiedene Extraktionsmöglichkeiten wie HTTP, Tor oder IP-Adressen unter Kontrolle der Angreifer.

Abbildung 2: Der scheinbar unverdächtige Code der Hacker verbirgt ein Skript, um bösartigen Code von einem fremden Endpunkt dynamisch herunterzuladen. Quelle: Bitdefender

Mutmaßlich nordkoreanischer Hintergrund

Die Analyse der Malware und das taktische Vorgehen der Angreifer spricht für Cyberkriminelle mit staatlichem, nordkoreanischem Hintergrund. Die Urheber der Attacke haben Verbindungen zu Akteuren wie der Lazarus Group (APT 38).

Die Bitdefender Labs warnen Entwickler vor solchen Angeboten und geben folgende Tipps:

Insbesondere bei unklaren Job-Angeboten sollten Interessenten auf keinen Fall innerhalb der Plattform antworten.
Repositories mit zufällig generierten Namen oder mangelhafter Dokumentation sind verdächtig.
Häufige Schreibfehler sollten Verdacht erregen.
Wenn die Gegenseite alternative Kontaktmöglichkeiten – wie Mail oder Telefon eines Unternehmens – verweigert, ist Vorsicht geboten.
Nicht verifizierter Code sollte nur auf virtuellen Maschinen, Online-Plattformen sowie in einer Sandbox auf einem privaten Rechner auf seine Betriebssicherheit getestet werden – niemals auf einem Unternehmensrechner.
Lösungen für private Anwender wie etwa Bitdefender Scamio erkennen KI-basiert betrügerische Links und können für zusätzliche Sicherheit sorgen.

Weitere Informationen finden Sie im vollständigen Untersuchungsbericht hier: https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-Linkedin-recruiting-scam.

2361 Artikel zu „Hacker Angriffe „

News | Trends 2024 | Trends Security | IT-Security | Künstliche Intelligenz

2025: Europa ist Hauptziel von Hackerangriffen, Aktivitäten verlagern sich auf kognitive Kriegsführung

9. Dezember 2024

Eine pro-russische Hacktivistengruppe verzeichnet mehr als 6.600 Angriffe seit März 2022 – 96 % davon betrafen europäische Länder, wobei sich die Angreifer auf öffentliche Meinungsbildung und Vertrauen konzentrierten, anstatt direkte technische Störungen durchzuführen. Hacktivisten waren für 23 % der komplexen Angriffe der »Kategorie 2« verantwortlich, die sich gegen OT richteten. Bei 46 % dieser Angriffe…