År 2021 rapporterade FBI om TA4557, en aktör som flitigt använde arbetsmarknaden som ett sätt att lokalisera måltavlor.
TA4557 kan spåras så långt bak som till 2018. Genom åren har man bland annat laddat upp falska ansökningar på olika jobbsökarsajter. Det gör man även denna gång, men nu har man dessutom utvidgat sin taktik och börjat ägna sig åt mer direkta mejlattacker, där man skickar e-post direkt till rekryterare, det rapporterar cybersäkerhetsföretaget Proofpoint.
Det nya tillvägagångssättet har en mer personlig touch med personliga brev och skräddarsydda profiler för att locka oförsiktiga arbetsgivare att aktivera skadlig programvara som stjäl data och tar över enheter från distans. När mottagaren svarar på det första e-postmeddelandet får man ett mejl tillbaka med en länk till en webbplats som utger sig för att vara ett cv. Alternativt skickar TA4557 PDF- eller Word-bilagor med instruktioner att besöka den falska cv-sajten.
Proofpoint har även upptäckt försök där aktören redan i första e-postmeddelandet skriver: ”jag hänvisar till domännamnet i min e-postadress för att komma åt min portfölj”.
För att inte dra åt sig misstankar ändrar man regelbundet både landningssajt och e-postadress.
Om mottagaren klickar vidare på länken till den falska cv-sajten initieras en nedladdning av en zip-fil. Den innehåller i sin tur en LNK-fil, som installerar skadlig programvara på mottagarens enhet. När allt är infekterat och klart raderar koden sig själv för att försvåra upptäckt.
”Företag och myndigheter bör vara vaksamma och särskilt instruera anställda som arbetar med rekrytering eller använder tjänster från tredje part för rekrytering att vara särskilt försiktiga”, skriver Proofpoint i ett pressmeddelande.