Nyheter

Jobbsökarbusarnas nya taktik – lockar till falska cv-sajter med personliga direktmejl

Av Redaktionen Stordåhd |

Cybersäkerhetsforskare på Proofpoint släpper i dag en ny rapport om en ökänd aktör med kopplingar till Ryssland, och som tämligen målmedvetet riktar sig mot arbetsgivare som letar ny personal.

Den senaste kampanjen är bara en i raden av en ihållande aktivitet från aktören, som kallas TA4557. 2021 publicerade Proofpoint ett liknande varning om TA4557, då efter att FBI rapporterat om att aktören flitigt använde arbetsmarknaden som ett sätt att lokalisera måltavlor.

TA4557 kan spåras så långt bak som till 2018. Genom åren har man bland annat laddat upp falska ansökningar på olika jobbsökarsajter. Det gör man även denna gång, men nu har man dessutom utvidgat sin taktik och börjat ägna sig åt mer direkta mejlattacker, där man skickar e-post direkt till rekryterare.

Det här nya tillvägagångsättet har en mer personlig touch än vad aktören tidigare använt sig av, med personliga brev och skräddarsydda profiler för att locka oförsiktiga arbetsgivare att aktivera skadlig programvara som stjäl data och tar över enheter från distans.

När mottagaren svarar på det första e-postmeddelandet får man ett mejl tillbaka med en länk till en webbplats som utger sig för att vara ett cv. Alternativt skickar TA4557 PDF- eller Word-bilagor med instruktioner att besöka den falska cv-sajten.

Proofpoint har även upptäckt försök där aktören redan i första e-postmeddelandet skriver: ”jag hänvisar till domännamnet i min e-postadress för att komma åt min portfölj”.

För att inte dra åt sig misstankar ändrar man regelbundet både landningssajt och e-postadress.

Om mottagaren klickar vidare på länken till den falska cv-sajten initieras en nedladdning av en zip-fil. Den innehåller i sin tur en LNK-fil, som installerar skadlig programvara på mottagarens enhet. När allt är infekterat och klart raderar koden sig själv för att försvåra upptäckt.

Företag och myndigheter bör vara vaksamma och särskilt instruera anställda som arbetar med rekrytering eller använder tjänster från tredje part för rekrytering att vara särskilt försiktiga.

Hela rapporten finns att läsa här: 

https://www.proofpoint.com/uk/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email

Bild: Anna Tarazevich 

    Du kanske även vill läsa om det här

    Global rapport visar att organisationer förbiser kritiska luckor i sin övertro på AI

    Gamla E4 blir lokalväg för Sundsvalls södra infart

    Vattenfall placerar mobil snabbladdstation i Söderköping

    Unikt nordiskt samarbete ska underlätta för medborgare att hantera livets större händelser digitalt

    Den tredje färjan hos Öresundslinjen förbereds för att segla på grön el

    NordVPN lanserar cyberförsäkring för svenska kunder

    163 000 läsare i månaden kan inte ha fel: Stordåhd är nu Sveriges snabbast växande mediakanal för branschnyheter

    Manitous teleskoplastare, mast och bomliftar får nu sällskap även av saxliftar

    Nya lösningar förenklar hantering av AI-risker