Een nieuwe malware-campagne richt zich op HR-afdelingen naarmate de werkloosheidscijfers stijgen
De pandemie van het coronavirus heeft iedereen getroffen, en blijkbaar ook de cybercriminelen. Zo registreerde Check Point in maart een vermindering van 30% in het aantal malware-aanvallen in vergelijking met januari. Het is een behoorlijk significante daling, maar als je erover nadenkt, zul je zien dat het helemaal niet verrassend is. Bedrijven over de hele wereld werden gedwongen te sluiten vanwege de pandemie en de cybercriminelen hadden minder doelwitten om hun aanvallen op te richten.
Nu keert de wereld echter langzaam terug naar zijn dagelijks leven, en hetzelfde geldt voor de hackers. Volgens Check Point was er in mei een stijging van 16% in het aantal cyberaanvallen ten opzichte van april.
COVID-19 is echter niet verdwenen en het is niet verrassend dat de aanvallen van hackers er nog steeds omheen draaien. Gisteren schreven de onderzoekers van Check Point over een recente malwarecampagne die profiteert van een van de ergste bijwerkingen van de pandemie.
Table of Contents
Hackers maskeren malware als cv's
De werkloosheidscijfers over de hele wereld stegen enorm nadat de crisis was begonnen, en in plaatsen als de VS bereikten ze ongelooflijke hoogten. Nu bedrijven weer opengaan, moeten ze werknemers vinden en verwachten ze dat er veel mensen op zoek zijn naar een baan. Dit is precies waar de hackers van proberen te profiteren.
Volgens Check Point hebben de cybercriminelen hun zinnen gezet op HR-afdelingen en verspreiden ze malware door het te maskeren als cv's van werkzoekenden. Zoals je misschien al geraden had, komt de aanvalsvector in de vorm van een e-mail van een persoon die naar verluidt op zoek is naar een baan. De hoofdtekst van het bericht lijkt op een korte sollicitatiebrief, en zoals bij alle sollicitaties, wordt een cv bij de e-mail gevoegd. Hier is de malware verborgen.
Schadelijke Excel-documenten en ISO-archieven verspreiden de Zloader-malware
De e-mails die Amerikaanse bedrijven ontvangen, worden geleverd met Excel-bestanden. In plaats van een curriculum vitae ziet de gebruiker echter een lege spreadsheet wanneer hij het bestand opent en wordt hem gevraagd "Content inschakelen" om het document te bekijken. Als ze dat doen, downloaden en installeren de macro-instructies de malware. In het VK en Roemenië is de bijlage een ISO-archief dat de uiteindelijke EXE-payload extraheert.
De payload in kwestie is de banktrojan van Zloader. De malware bestaat al jaren, is gebaseerd op de beruchte Zeus en is gespecialiseerd in het stelen van wachtwoorden voor bankrekeningen en financiële instellingen.
Kun je de zwendel herkennen?
Er zijn een paar veelbetekenende tekenen van een phishing-zwendel. CV's komen meestal als Word in plaats van als Excel-bestanden, en het is nog ongebruikelijker om ze in een gearchiveerd formaat te zien. De ongevraagde communicatie zelf zou een aantal alarmbellen moeten doen afgaan en als het bedrijf geen openstaande vacatures heeft aangekondigd, moeten werknemers wantrouwend staan tegenover sollicitaties die in hun inbox verschijnen.
Dat gezegd hebbende, de campagne is goed opgezet en kan meer dan een paar mensen vangen. HR-specialisten behandelen dagelijks cv's en gezien de enorme werkloosheidscijfers is het aantal bestanden dat op dit moment in hun inbox terechtkomt waarschijnlijk enorm, wat betekent dat de verhoogde werklast tot dure fouten kan leiden.
Uiteindelijk hangt het feit of de werknemers al dan niet voor de zwendel vallen af van hoe goed ze zijn opgeleid en hoe bewust ze zijn van het gevaar. Omdat hun werk bestaat uit het dagelijks openen van een groot aantal documenten, zijn HR-specialisten bijzonder kwetsbaar voor dergelijke aanvallen en zouden bedrijven waarschijnlijk wat meer aandacht moeten besteden aan hun opleiding.
