Wie diese gefälschten Facebook- und LinkedIn-Profile Menschen dazu verleiteten, sich mit staatlich unterstützten Hackern anzufreunden

Ein Screenshot der gefälschten Facebook-Seite, mit der Opfer der Hacker-Kampagne angelockt wurden.

Bild: SecureWorks

Sind Sie sicher, dass Sie wissen, wer dieser LinkedIn-Kontakt wirklich ist? Sie sind vielleicht nicht die, die sie wirklich behaupten, sondern ein Hacker, der versucht, Ihr Profil zu kratzen – oder, schlimmer noch, Ihre Aktionen zu manipulieren.

Cyberspionage-Aktivitäten, die offenbar im Auftrag der iranischen Regierung durchgeführt werden, richten sich gegen Organisationen aus den Bereichen Finanzen, Öl, Technologie und anderen Sektoren, wobei fortschrittliches Social Engineering auf einer einzigen, produktiven Social-Media-Persona basiert, die absolut gefälscht ist. Dessen Ziel? Um Trojaner-Malware in den Netzwerken von Zielorganisationen zu installieren.

Sicherheit

  • Wenn es bei Ihrem VPN um Leben oder Tod geht, verlassen Sie sich nicht auf Bewertungen
  • Ransomware-Banden beschweren sich darüber, dass andere Gauner ihr Lösegeld stehlen
  • Bandwidth CEO bestätigt Ausfälle durch DDoS-Angriff
  • Diese Systeme sind jeden Monat mit Milliarden von Angriffen konfrontiert, da Hacker versuchen, Passwörter zu erraten
  • So bekommen Sie einen bestbezahlten Job in der Cybersicherheit
  • Cybersecurity 101: Schützen Sie Ihre Privatsphäre vor Hackern, Spionen und der Regierung

Die Operation, die von Cybersicherheitsforschern von SecureWorks aufgedeckt wurde, ist das Werk einer Gruppe, die offenbar mit der iranischen Regierung verbunden ist und Spear-Phishing einsetzt, um Ziele zu kompromittieren.

Anfang dieses Jahres sahen Forscher eine Phishing-Kampagne, die auf Einzelpersonen in Organisationen hauptsächlich im Nahen Osten und in Nordafrika abzielte, mit einigen Zielen in den USA. Zu den allgemeinen Themen der E-Mails gehörten Stellenangebote und Aufforderungen zum Zurücksetzen von Passwörtern.

Diese Köder enthielten verkürzte URLs, die zu Dokumenten führten, die beim Öffnen PupyRAT installierten, einen Open-Source-Trojaner für den Fernzugriff, der Windows, Linux, OSX und Android infiltrieren kann, um dem Angreifer vollen Zugriff auf das System des Opfers zu gewähren.

Als jedoch weniger Ziele als erwartet auf das System hereinfielen, versuchte es die Hackergruppe erneut mit einem gefälschten Social-Media-Profil, das seit Mitte letzten Jahres mit einigen der Ziele interagiert hatte.

Das Profil mit dem Namen “Mia Ash” soll eine junge Frau sein, die in London in der Fotografie arbeitet und über soziale Medien eine Verbindung zu verschiedenen Zielen aufbaut. Die Persona war jedoch komplett gefälscht und verwendete die Instagram-Fotos einer jungen Frau in Osteuropa.

„Mia Ash war die Folgeaktivität einer erfolglosen Kampagne, weshalb sie die großen Waffen herausbrachten und die Persona nutzten, um Personen auf LinkedIn direkt anzusprechen“, sagte Allison Wikoff, Senior Security Researcher bei SecureWorks, gegenüber ZDNet.

Das Profil ist seit April 2016 aktiv und hat über 500 Verbindungen auf ihrem LinkedIn-Profil und noch mehr auf Facebook. Das LinkedIn-Konto hat einem legitimen Fotografen in den USA eine Stellenbeschreibung gestohlen und scheint sich zunächst mit anderen in der Fotografie verbunden zu haben, um authentisch auszusehen.

Die Kampagne begann dann, Ziele hinzuzufügen, wie beispielsweise Personen, die für Unternehmen mit Sitz im Nahen Osten oder in Afrika in den Bereichen Telekommunikation, Technologie sowie Öl und Gas arbeiten. Hunderte nahmen die Anfrage an, viele mit Rollen wie IT-Support, Techniker und Ingenieure – Personen, die über eine höhere Zugriffsebene als normale Benutzer verfügen würden.

“Die meisten dieser Leute hatten Stellenbeschreibungen, die darauf hindeuteten, dass sie möglicherweise privilegierten Zugang zu ihrem Unternehmen haben”, sagte Wikoff. „Es sollte nicht überraschen, aber sie waren alle Männer – sie verwenden den 1.000 Jahre alten Trick“, fügte sie hinzu.

Ransomware: Ein Leitfaden für Führungskräfte zu einer der größten Bedrohungen im Internet

Ransomware: Ein Leitfaden für Führungskräfte zu einer der größten Bedrohungen im Internet

Alles, was Sie über Ransomware wissen müssen: Wie sie entstanden ist, warum sie boomt, wie Sie sich davor schützen und was Sie tun können, wenn Ihr PC infiziert ist.

Weiterlesen

Natürlich gibt es in diesem Fall keine reale Person, sondern nur eine Gruppe von Angreifern, die ein Profil betreibt, sondern eine, die regelmäßig mit Opfern interagiert, die ebenfalls reagieren.

“Das Facebook-Profil von Mia Ash war sehr aktiv, es wurden regelmäßig neue Fotos veröffentlicht und es gibt einige Kommentare von Zielen, die diese Fotos kommentieren. Sie haben sich nicht mit ihr angefreundet und nie wieder aufgepasst, es gibt viele Likes von denselben Leute”, erklärte Wikoff.

Der Angriff beginnt mit Nachrichten über LinkedIn, bevor er zu Facebook und schließlich per E-Mail übergeht. In einem bestimmten Fall der von Forschern untersuchten Kampagne endete der E-Mail-Austausch damit, dass ‘Mia’ dem Ziel eine E-Mail mit einem Microsoft Excel-Dokument ‘Copy of Photography Survey.xlsm’ schickte und sie aufforderte, es bei der Arbeit zu öffnen, damit es ‘ einwandfrei funktionieren’.

Diese Umfrage setzte Makros fort, die nach ihrer Aktivierung den PupyRAT-Trojaner auf das Zielsystem herunterluden und den Angreifern Zugang zum Netzwerk verschafften.

“Sie haben sich wirklich viel Mühe gegeben und sind ins Welsfischen gegangen”, sagte Wikoff. “Sie haben das P in eine dauerhafte Bedrohung gestellt. Der erste Angriff hat nicht funktioniert, also hat der Bedrohungsakteur eine Persönlichkeit, die er aufgebaut hat und bereit ist, zu den Organisationen zurückzukehren, in die er einsteigen möchte.”

Die Gruppe bleibt in Betrieb und versucht immer noch, die Netzwerke von Tausenden von Organisationen auf der ganzen Welt zu infiltrieren, insbesondere im Nahen Osten und in Afrika. SecureWorks sagt, dass die Operation von einer der produktivsten Hacker-Gruppen der Welt durchgeführt wird, produktiver als Fancy Bear oder verschiedene chinesische Gruppen.

Was die Frau betrifft, deren Fotos für diese Cyberkriminalität gestohlen wurden, konnte SecureWorks Kontakt aufnehmen und sie war “schockiert” über das, was vor sich ging – aber die in diesem Artikel verwendeten Bilder werden mit ihrer Erlaubnis verwendet. LinkedIn hat das gefälschte Konto entfernt.

Dieser Fall zeigt nicht nur die Gefahren hochentwickelter Cyberangriffe und die Risiken einer Verbindung mit unbekannten Social-Media-Konten, er zeigt auch, wie Sie Ihre eigenen Social-Media-Konten sperren sollten, denn wer weiß, wer Sie vielleicht beobachtet.

LESEN SIE MEHR ÜBER CYBERCRIME

  • Schmeichelhaft, um zu täuschen: Warum Narzissten ein leichtes Ziel für Hacker sind
  • Wie man ein Meister-Cyber-Detektiv wird [TechRepublic]
  • Cybercrime Inc: Wie sich Hacker-Gangs nach dem Vorbild der großen Unternehmen richten
  • Das nächste Ziel eines Hackers ist nur eine Websuche entfernt [CNET]
  • Hacker nutzen diese neue Angriffsmethode, um Energieunternehmen ins Visier zu nehmen

Leave a Comment