CareerBuilder列表用作网络钓鱼平台

恶意求职者发布了rootkit而不是简历

安全网络钓鱼钩
Thinkstock

Proofpoint的研究人员最近发现了一个网上诱骗活动,该活动源自CareerBuilder上的精选职位发布。

攻击者利用工作门户使用的通知系统,上传了恶意附件,而不是简历,这又迫使CareerBuilder充当网络钓鱼电子邮件的传递工具。

骗局既简单又复杂。这很简单,因为攻击者使用了一个已知的工作站点来定位愿意接收的电子邮件收件人的池;而复杂的原因是,所分发的恶意软件是分阶段部署的。

攻击是通过将恶意Word文档(名为resume.doc或cv.doc)提交到职位发布开始的。在CareerBuilder上,当有人向工作清单提交文档时,将为发布该工作的人生成通知电子邮件,并包括附件。

在这种情况下,恶意附件是从CareerBuilder发送的,而不是攻击者发送的,这使邮件可以轻松访问目标组织,从而绕开了许多常见的防御措施,因为该域通常被列入白名单。

此类网络钓鱼攻击消除了诱饵的需要,因为收件人希望电子邮件和附件来自CareerBuilder,并且通常将那些响应通知传递给组织内的多个人。

因此,攻击者所需要做的就是生成一个伪造的CareerBuilder个人资料,并随心所欲地发布带有恶意附件的帖子。

根据Verizon数据泄露调查报告中的最新总数,网络钓鱼收件人中有23%将打开给定的邮件,而11%的用户将单击其中的链接。几乎有一半的收到网络钓鱼电子邮件的人在第一个小时内单击了恶意链接,可以肯定的是,这些打开的附件的总数将是相同的。

现在,考虑以下事实:电子邮件和附件是完全可以预期的,并且由于来自何处而自动被认为是安全的,而CareerBuilder广告系列就是一个很好的例子,它是来自一个知道自己在做什么的人的精心策划的基于社会的攻击。

但是,该活动还具有普通网络钓鱼攻击所不具备的技术水平。

数量很少,因为CareerBuilder发送的电子邮件少于十封。恶意附件被发送到广播公司,能源公司,信用合作社,商店和电气供应商。攻击者似乎将目标锁定在工程和金融领域。

发送的恶意Word文件也是另一个技术要点。

他们利用了一个已知漏洞(例如CVE-2014-1761或CVE-2012-0158),并使用链式方法来交付有效负载。在这种情况下,一旦打开文档,被利用的漏洞将在下载和解压缩映像文件的系统上放置一个二进制文件,从而安装Sheldor rootkit。由于7Zip包含在滴管中,因此简化了该过程,因此所有操作都立即发生。 Proofpoint并未透露是否成功感染了任何目标。

Proofpoint曾就此问题向CareerBuilder发出警报,尽管他们没有提及,但数量很少,表明该广告系列是试运行。问题是,现在攻击者知道交付过程可以正常工作,而CareerBuilder并不是Web上唯一的工作门户。如果有感染,那就进一步鼓励。

Proofpoint在一份通报中说:“这种有效交付与非常隐秘的感染程序的创造性组合,使攻击者可以逃避自动防御,并愚弄怀疑的最终用户。受害组织不是新雇员,而是欢迎危险的恶意软件。”

“此外,必须指出,求职服务本身也是此次攻击的受害者,因为它们被利用来提供绕过组织现有防御甚至用户培训的恶意附件。”

更多细节 在这里可用.

版权© 2015 IDG通讯,Inc.