Arctic Wolf heeft een nieuwe aanvalscampagne ontdekt die zich specifiek richt op HR-afdelingen. De aanvalsgroep, Venom Spider, benadert HR-afdelingen met spear-phishing e‑mails en verleidt slachtoffers om op een link te klikken waarna een backdoor, ‘More_eggs’, op het device van het slachtoffer wordt geplaatst. Aanvallers kunnen deze backdoor vervolgens gebruiken om bijvoorbeeld logingegevens, intellectueel eigendom of betalingsgegevens van klanten te stelen.
Venom Spider
Venom Spider is een financieel gemotiveerde aanvalsgroep en richtte zich voorheen op organisaties die vacatures willen invullen via legitieme sites van derden, zoals LinkedIn. Sinds de pandemie heeft de groep zijn tactieken verfijnd en ingespeeld op de trend van het online werven van medewerkers, waarbij ze zich specifiek richten op HR-afdelingen.
Sinds ten minste oktober 2023 heeft Venom Spider deze campagne opgevoerd en richt het zich rechtstreeks op recruiters en HR-managers, met phishinglinks die afkomstig lijken te zijn van werkzoekenden. In werkelijkheid leiden deze links naar een schadelijke website waar de recruiter het cv van de sollicitant van een externe site kan downloaden. Op deze site moet de gebruiker een CAPTCHA-vakje aanvinken, een voorzorgsmaatregel die de site helpt bij het omzeilen van automatische scanners. Als het slachtoffer door de CAPTCHA-test heen komt, wordt er een zip-file gedownload, waarvan het slachtoffer denkt dat dit het cv is van de sollicitant. In feite bevat het zip-bestand echter een schadelijk Windows-snelkoppelingsbestand (.lnk) en een afbeeldingsbestand. Het .lnk-bestand is de kwaadaardige payload en het jpg-afbeeldingsbestand is een afleiding.
De infrastructuur van de aanvaller die het .lnk-bestand uitgeeft, ondersteunt serverpolymorfisme, dat voor elke afzonderlijke download een nieuw kwaadaardig .lnk-bestand genereert. Hierbij wordt de code verhuld en wordt de grootte van het bestand elke keer gewijzigd.
“Sollicitanten voegen steeds vaker links toe naar hun eigen digitale portfolio als ze gaan solliciteren en cybercriminelen zoals Venom Spider maken hier graag misbruik van. Door legitieme sollicitaties te imiteren en het vertrouwen van HR-medewerkers in een veilige werkomgeving te misbruiken, kunnen cybercriminelen schadelijke payloads die zijn vermomd als cv’s uploaden op het device van het slachtoffer. Tenzij recruiters specifiek zijn getraind in het herkennen van dit soort social engineering-aanvallen, is het voor hen niet altijd duidelijk dat ze de legitimiteit van wat zij als echte cv-bestanden beschouwen, in twijfel moeten trekken. Aangezien we verwachten dat cybercriminelen de komende jaren door zullen gaan met dit soort aanvallen, is het belangrijker dan ooit om HR-medewerkers te trainen om social engineering-aanvallen te herkennen”, zegt Ismael Valenzuela, VP of Threat Intelligence bij Arctic Wolf.
Voor meer informatie over de aanvalscampagne van Venom Spider, ga naar: https://arcticwolf.com/resources/blog/venom-spider-uses-server-side-polymorphism-to-weave-a-web-around-victims/.
