Hacker geben sich als Bewerber aus – Lebenslauf enthält Ransomware

Cyberkriminelle der Gruppe FIN6, auch bekannt unter dem Namen Skeleton Spider, setzen auf perfides Social Engineering: Sie tarnen sich als Arbeitssuchende und schleusen über scheinbar harmlose Bewerbungen Schadsoftware in Unternehmensnetzwerke ein. Wer ihren Lebenslauf öffnet, riskiert eine Infektion mit Ransomware.

FIN6 zählt zu den erfahrensten Akteuren in der Welt der finanziell motivierten Cyberkriminalität. Ursprünglich bekannt für Angriffe auf Kassensysteme und den Diebstahl von Kreditkartendaten, hat die Gruppe ihr Vorgehen mittlerweile deutlich ausgeweitet. Im Visier stehen heute vor allem Unternehmen – mit einer Mischung aus Social Engineering, gezieltem Phishing und Ransomware-Angriffen.

Cyberkriminelle knüpfen Kontakte auf LinkedIn

Besonders tückisch ist die Masche, mit der FIN6 vorgeht: Die Hacker kontaktieren Personalverantwortliche über Plattformen wie LinkedIn oder Indeed, geben sich als Bewerber aus und bauen so ein Vertrauensverhältnis auf. Erst später folgt eine vermeintliche Bewerbung – samt Lebenslauf. Doch wer die Datei öffnet, lädt in Wahrheit eine Schadsoftware wie more_eggs auf seinen Rechner. Diese JavaScript-basierte Backdoor ermöglicht nicht nur den Diebstahl von Zugangsdaten, sondern auch die spätere Verteilung von Ransomware.

Technische Analysen zeigen, dass FIN6 dabei auch auf legitime Cloud-Dienste wie Amazon Web Services (AWS) zurückgreift, um ihre Infrastruktur zu tarnen und der Erkennung durch Sicherheitssysteme zu entgehen.

Gefälschte URLs statt klickbarer Links

Die E-Mails der Angreifer wirken auf den ersten Blick professionell – oft enthält die Nachricht eine scheinbar seriöse URL wie „bobbyweisman[.]com“. Auffällig: Der Link ist nicht klickbar. Diese Maßnahme soll automatisierte Sicherheitsscans umgehen und dazu verleiten, die Adresse manuell in den Browser einzutippen – der erste Schritt in Richtung Infektion.

Diese Nachrichten sind sorgfältig verfasst und enthalten keine anklickbaren Links – eine Umgehungstechnik, mit der sie Sicherheitsfilter umgehen können. Stattdessen müssen die Empfänger eine URL manuell eingeben, die oft durch zusätzliche Leerzeichen oder Unterstriche „_“ verschleiert ist, wie beispielsweise (elizabethabarton. COM).

Phishing-Kampagnen von FIN6: Tarnung durch gefälschte Bewerber-Domains und GoDaddy-Datenschutz

Eine auffällige Strategie der Gruppe FIN6 in aktuellen Phishing-Kampagnen ist die Nutzung von täuschend echt wirkenden Domains, die echten Bewerbernamen nachempfunden sind – etwa bobbyweisman[.]com oder ryanberardi[.]com. Diese Domains folgen einem klaren Muster: Sie kombinieren Vor- und Nachnamen und erwecken so den Eindruck legitimer Internetpräsenzen.

Registriert werden diese Domains häufig anonym über den bekannten Anbieter GoDaddy. Dessen integrierte Datenschutzdienste tragen maßgeblich dazu bei, die wahre Identität der Angreifer zu verschleiern. Die Whois-Daten enthalten in der Regel keine persönlichen Informationen, sondern lediglich standardisierte Proxy-Einträge, die auf GoDaddys Datenschutzservice verweisen. Zwar lassen sich Missbrauchsfälle über die E-Mail-Adresse abuse@godaddy.com melden, doch sind die Reaktionszeiten und Maßnahmen häufig uneinheitlich.

Nach Einschätzung von Sicherheitsexperten setzt FIN6 auf eine Kombination aus gefälschten oder temporären E-Mail-Adressen, anonymen oder ausländischen IP-Adressen sowie gestohlenen oder Prepaid-Zahlungsmethoden. Damit schaffen sie es, ihre Infrastruktur schnell und flexibel aufzubauen – und ebenso schnell wieder zu entfernen, sobald die Kampagnen abgeschlossen oder entdeckt sind. Die Nutzung bewerbungsähnlicher Domainnamen in Verbindung mit Identitätsdiebstahl erschwert dabei sowohl die Zuordnung als auch die Bekämpfung dieser Phishing-Aktivitäten erheblich.

Cloud-gehostete Malware-Infrastruktur

FIN6 hostet seine Phishing-Websites über vertrauenswürdige Cloud-Infrastrukturen, darunter AWS. Diese Plattformen sind für Angreifer aus folgenden Gründen attraktiv:

• Frühere Beobachtungen zeigen, dass FIN6 Amazon CloudFront nutzt, um seine Infrastruktur zu verschleiern und der Erkennung zu entgehen. Durch die Verwendung von CDN-Diensten wie CloudFront können Angreifer die Herkunft bösartiger Inhalte verschleiern, sodass es für Verteidiger schwieriger wird, die tatsächliche Hosting-Quelle zu verfolgen und zu blockieren.
• Einfache Einrichtung mithilfe von Diensten wie EC2 und S3
• Geringe Kosten durch Missbrauch der kostenlosen Nutzung oder Verwendung kompromittierter Abrechnungskonten
• Cloud-IP-Bereiche, denen von Netzwerkfiltern in Unternehmen oft implizit vertraut wird
• Integrierte Skalierbarkeit und die Möglichkeit, schnell eine Wegwerfinfrastruktur bereitzustellen

FIN6 richtet häufig Landingpages auf Cloud-gehosteten Domains ein, die persönlichen Lebenslauf-Portfolios ähneln. Diese Domains sind in der Regel AWS EC2-Instanzen oder S3-gehosteten statischen Websites zugeordnet, sodass sie nur schwer von legitimen privaten oder geschäftlichen Hosting-Seiten zu unterscheiden sind.

Diese Landing Pages sind mit einer Traffic-Filterlogik ausgestattet, um potenzielle Opfer von unerwünschten Analyse-Tools zu unterscheiden. Wenn der Besucher bestimmte Kriterien nicht erfüllt, zeigt die Website nur harmlose Inhalte an, in der Regel eine Textversion des Lebenslaufs oder eine Fehlerseite.

Die Hackergruppe tarnt ihre Aktivitäten mit einem mehrstufigen Filtersystem, um Analysen und Sicherheitsüberprüfungen zu umgehen. Zugriffe aus Cloud-Diensten, VPNs oder bekannten Bedrohungsnetzwerken werden durch IP-Filter und Geolokalisierung blockiert. Nur typische Nutzer privater Internetanschlüsse erhalten Zugriff.

Zusätzlich nutzt die Gruppe Fingerprinting-Techniken, um das Betriebssystem und den Browser der Besucher zu identifizieren. Ungewöhnliche Kombinationen wie Linux oder abweichende User-Agent-Strings führen zur Sperrung oder Anzeige harmloser Inhalte.

Erfüllt ein Besucher alle Bedingungen, wird ein CAPTCHA angezeigt – meist Google reCAPTCHA –, das als letzte Hürde vor dem Zugriff auf die eigentlichen Schadinhalte dient. Erst danach erscheint eine manipulierte Lebenslauf-Seite mit einem schädlichen ZIP-Download. Zielgruppe sind gezielt Personalvermittler mit gewöhnlicher Büro- oder Heimkonfiguration.

Hacker können unbegrenzt viele Kombinationen aus bösartigen Domains erstellen. Forscher haben Folgendes beobachtet:

• bobbyweisman[.]com
• emersonkelly[.]com
• davidlesnick[.]com
• kimberlykamara[.]com
• annalanyi[.]com
• bobbybradley[.]net
• malenebutler[.]com
• lorinash[.]com
• alanpower[.]net
• edwarddhall[.]com

„Diese Websites zeigen oft einen professionell aussehenden gefälschten Lebenslauf mit einem CAPTCHA zur Überprüfung des menschlichen Zugriffs“, warnen die Forscher.

DomainTools empfiehlt Personalvermittlern, ZIP-Dateien niemals herunterzuladen, es sei denn, sie wurden vom IT-Team überprüft.

„Vermeiden Sie es, Links zu Lebensläufen von unbekannten Absendern manuell einzugeben. Seien Sie vorsichtig bei CAPTCHA-geschützten Lebenslauf-Websites.“

Netzwerkverteidiger können die Ausführung von .LNK-Dateien in ZIP-Dateien aus nicht vertrauenswürdigen Quellen blockieren, verdächtigen ausgehenden Datenverkehr überwachen, Richtlinien für den Missbrauch von Skript-Engines implementieren und auf Anzeichen für Persistenz in der Registrierung und in geplanten Aufgaben achten.

More_eggs Malware-Verbreitungskette

Die Malware-Verbreitung nutzt einfache Techniken, die in irreführende Grafiken verpackt sind:

• Die ZIP-Datei enthält eine getarnte .LNK-Datei (Windows-Verknüpfung).
• Die LNK-Datei führt mit wscript.exe verstecktes JavaScript aus.
• Die Nutzlast verbindet sich mit externen Ressourcen und lädt die More_eggs-Backdoor herunter.

More_eggs, entwickelt von „Venom Spider“, auch bekannt als „Golden Chickens“, ist eine modulare JavaScript-Backdoor, die als Malware-as-a-Service angeboten wird. Sie ermöglicht die Ausführung von Befehlen, den Diebstahl von Anmeldedaten und die Bereitstellung weiterer Payloads und wird häufig im Arbeitsspeicher ausgeführt, um einer Erkennung zu entgehen.

Quelle: https://dti.domaintools.com/skeleton-spider-trusted-cloud-malware-delivery/

---

Bild/Quelle: https://depositphotos.com/de/home.html