Man kann nie vorsichtig genug sein, wenn man im Internet surft, selbst wenn man auf der Suche nach einem neuen Job ist. Corsair ist ein bekannter Name auf dem Markt für Gaming-Hardware und -Zubehör, und es liegt auf der Hand, dass das Unternehmen ein beliebtes Ziel für Enthusiasten ist, die auf der Suche nach einem neuen Job sind. Einige ruchlose Parteien nutzen jedoch den Namen Corsair, um DarkGate-Malware auf den Computern ahnungsloser Arbeitssuchender zu verbreiten.
Bleeping Computer wurde zuerst auf den Bericht aufmerksam, in dem Täter eines vietnamesischen Cyberkriminellenrings gefälschte LinkedIn-Posts und Direktnachrichten an Nutzer über eine offene Stelle bei Corsair verbreiten. Der gefälschte Inhalt gibt vor, dass Corsair einen Spezialisten für Facebook-Anzeigen einstellt, und zielt auf LinkedIn-Nutzer in den Vereinigten Staaten, Großbritannien und Indien ab.
Die LinkedIn-Posts und Direktnachrichten enthalten einen Link zu einer verdächtigen URL, die den Anschein erwecken soll, als würde sie zu Corsair führen, was aber nicht der Fall ist. Als ob diese URL nicht schon verdächtig genug wäre, leitet der Link ahnungslose Bewerber zu einer (bei Dropbox oder Google Drive gehosteten) Zip-Datei mit dem Titel „Salary and new products.8.2.1.zip“. In der Zip-Datei sind folgende Dateien enthalten:
- Stellenbeschreibung von Corsair.docx
- Gehalt und neue Produkte.txt
- PDF-Gehalt und Produkte.pdf
🚫 Don't Fall for the Trap! Scammers are using fake Corsair job offers on LinkedIn to distribute DarkGate malware. Let's spread awareness and keep our digital community safe. Share to protect! 🛡️🔗 #Cybersecurity #DarkGate #StaySafeOnline https://t.co/BoeRfsVyBF
— CyberInfoSec Academy (@CyberinfosecA) October 20, 2023
Nach Angaben von WithSecure enthält das Archiv ein VBS-Skript, das die Windows-Binärdatei curl.exe an einen anderen Ort kopiert und dann umbenennt. Die umbenannte Datei stellt eine Verbindung zu einer externen Website her und lädt autoit3.exe und das autoit3-Skript herunter. Das ausgeführte Skript manifestiert dann die DarkGate-Malware, die darauf ausgelegt ist, sensible Informationen von ihren Zielen zu extrahieren. Die Malware versucht dann, die auf einem System installierte Anti-Malware-Software zu deinstallieren, obwohl WithSecure sagt, dass seine Software zusammen mit Sophos und Forcepoint diese Versuche vereitelt hat.
DarkGate ist mit der zuvor identifizierten Ducktail-Malware verwandt, die Zugangsdaten/Cookies stiehlt und sie an die bösen Akteure weiterleitet. DarkGate hat jedoch eine speziellere Komponente, die auf Facebook Business-Konten abzielt. „Wenn es ein Sitzungs-Cookie eines Facebook Business-Kontos findet, versucht es, den Angreifer als Administrator zu dem Konto hinzuzufügen“, schreiben die Sicherheitsforscher von WithSecure. „Er verfügt sogar über Funktionen, um automatisch betrügerische Werbekampagnen zu erstellen und zu veröffentlichen, die vom Angreifer an das kompromittierte Gerät gesendet werden.“
Wir raten allen, wachsam zu bleiben, wenn sie mit unbekannten oder verdächtig aussehenden Posts und Direktnachrichten zu tun haben. Und bitte laden Sie nicht wahllos Zip-Dateien herunter und öffnen Sie sie nicht, denn Sie können sich nicht immer darauf verlassen, dass Ihr Antivirenprogramm Sie in jedem Fall rettet.
