Will Thomas beschreibt in einem GitHub-Beitrag eine Kampagne, die sich als Personalgewinnung großer Marken ausgibt. Zielgruppe sind Marketing-Fachleute, denen vermeintliche Recruiter Stellenangebote unterbreiten. Thomas zufolge werden die Empfänger mit ihrem Namen angesprochen und arbeiten in einem thematisch passenden Bereich. Daraus schließt er, dass die Angreifer relevante Recherchen betrieben und Daten über ihre Ziele gesammelt haben.
Ein in dem Beitrag gezeigtes Beispiel ist eine täuschend echt wirkende E-Mail im Namen von McKinsey & Company. Darin findet sich ein Link mit der Aufschrift „Kalender ansehen und Anruf planen“ für ein angebliches Bewerbungsgespräch. Versendet wird die Nachricht über PeopleForce, eine cloudbasierte Plattform für Personalmanagement.
Nach dem Klick landen Betroffene nicht direkt auf der finalen Phishing-Seite. Stattdessen führt der Link zunächst über mehrere legitime Dienste. In dem von Thomas analysierten Ablauf werden Nutzer zuerst auf eine Domain von ExactTarget weitergeleitet, einer Salesforce-Tochter. Unmittelbar danach folgt eine Weiterleitung zu Wise Agent, einer CRM-Plattform für die Immobilienbranche, und erst danach zur eigentlichen Phishing-Seite, die auf Netlify gehostet wird. Diese Methode der verschachtelten Weiterleitungen soll die wahre Zieladresse verschleiern.
Pieter Arntz, Malware-Intelligence-Researcher bei Malwarebytes, erklärte gegenüber Dark Reading, dass diese Technik die Erkennung des eigentlichen Phishing-Links erschwert. Die Weiterleitungen über legitime Dienste sollten Vertrauen schaffen und könnten einfache Webfilter umgehen, die nur die erste Domain eines Links prüfen, etwa in E-Mail-Filtern. Zudem erlaube die Methode den Angreifern, einzelne Glieder der Kette bei Bedarf auszutauschen, falls ein Schritt erkannt werde oder nicht mehr funktioniere.
Unklar ist laut Bericht, wie die Täter die legitimen Plattformen in der Weiterleitungskette missbrauchen. Als mögliche Erklärungen nennt der Text die Nutzung von Test- oder Bezahlkonten oder gestohlene Zugangsdaten anderer Kunden.
Am Ende der Kette erscheint ein gefälschtes Google-Anmeldefenster. Thomas geht davon aus, dass hier die Taktik „Browser-in-the-Browser“ zum Einsatz kommt. Dabei bauen Angreifer ein glaubwürdig wirkendes Pop-up-Fenster mit scheinbar gültiger URL nach, das tatsächlich nur aus HTML innerhalb der bereits geöffneten Seite besteht.
Laut einer Analyse des McKinsey-&-Company-Links durch URLScan.io wurde die Domain mckinsey-careers[.]com am 29. Juni erstellt und als potenziell bösartig markiert. Die zugehörige IP-Adresse wurde nach Angaben von AbuseIPDB im vergangenen Jahr dutzendfach wegen verschiedener bösartiger Aktivitäten gemeldet. In seinem Beitrag listet Thomas mehr als 30 schädliche Domains auf, die sich als Unternehmensadressen ausgeben; vier davon stehen im Zusammenhang mit FIFA.
Arntz verweist in einem separaten Malwarebytes-Beitrag darauf, dass Stellenbetrugs-Kampagnen derzeit häufig vorkommen. Als Grund nennt er, dass Einstiegspositionen weiterhin stark umkämpft seien und Künstliche Intelligenz den Arbeitsmarkt weiter präge. Wie wirksam solche Kampagnen konkret sind, lasse sich zwar schwer bestimmen, sagte er gegenüber Dark Reading. Dass Analysten jedoch so viele dieser Fälle beobachten, spreche dafür, dass die Methode funktioniere. Große Markennamen seien dabei ein besonders wirksamer Köder.
