Proofpoint heeft ontdekt dat cybercriminelen zich steeds vaker richten op werkzoekenden met
remote management tools (RMM). Dit kan leiden tot data- of financiële diefstal, of het installeren van malware, zoals ransomware.
In een recente thread op X, identificeert het cybersecuritybedrijf verschillende campagnes die frauduleuze e-mails verstuurd die zich voordoen als uitnodigingen voor sollicitatiegesprekken.De e-mails lijken uitnodigingen te zijn voor een Zoom of Teams gesprek om een vacature te bespreken. In werkelijkheid leiden deze naar een RMM, zoals SimpleHelp, ScreenConnect of Atera.
RMM-software wordt legitiem gebruikt door IT-beheerders bij bedrijven voor het management van computerinventarissen op afstand. Bij misbruik heeft deze software dezelfde mogelijkheden als een Remote Access Trojan (RAT).
Bij nieuwere campagnes worden gecompromitteerde e-mailadressen gebruikt, of de daders doen zich voor als vertegenwoordigers van echte bedrijven. De afzenders hebben meestal namen die verband houden met echte recruiters of werknemers van het bedrijf. De inhoud van de e-mails verwijst naar een sollicitatie. Securityexperts van Proofpoint identificeerden verschillende functies in de e-mails die werden geadverteerd door geïmiteerde of gecompromitteerde bedrijven.
In ten minste één geval vond Proofpoint bewijs van een gehackt LinkedIn-account waarop een vacature was geplaatst met een Gmailadres dat zich voordeed als gecompromitteerd persoon. De onderzoekers vernamen dat dit e-mailadres voorkwam in e-mails die waren verzonden naar mensen die op de vacature hadden gesolliciteerd. De persoon ontdekte de hack en verwijderde de frauduleuze vacature voordat Proofpoint deze heeft kunnen identificeren.
De dreigingsactoren verkrijgen op verschillende manieren lijsten met doelwitten: door valse vacatures te plaatsen om e-mailadressen te verzamelen, door de inbox of social media van recruiters of personeelsmanagers te hacken, of door een lijst met eerder gestolen e-mailadressen te gebruiken.
Deze activiteit is onderdeel van een bredere reeks e-mailcampagnes die RMM- of RAS-tools (Remote Access Software) verspreiden. Onderzoekers zagen ook e-mails die zich voordeden als Amerikaanse overheidsinstanties, uitnodigingen voor feestjes, financiële instellingen en meer.
RMM/RAS-tools zijn erg populair geworden als eerste fase van een payload. In plaats van het inzetten van RAT’s of infostealers, zetten cybercriminelen RMM’s in, omdat deze zich kunnen vermengen met legitiem verkeer. Vervolgens kunnen ze geld of informatie stelen, of meer malware installeren.
Werkzoekenden worden aangeraden waakzaam te zijn voor deze dreiging en extra aandacht te besteden aan de namen en afzenderdomeinen van mensen die contact met ze opnemen. Deze kunnen namelijk worden nagemaakt. Als een uitvoerbaar bestand wordt ontvangen, of een URL die naar een uitvoerbaar bestand leidt, dan is het waarschijnlijk een scam.