Waspadai Email Phishing Lowongan Kerja di LinkedIn

Cyberthreat.id – Geng penjahat siber berjuluk “Golden Chicken” menargetkan para pencari kerja di jejaring media sosial bisnis milik Microsoft, LinkedIn, menggunakan serangan spear-phising (email phishing yang telah ditargetkan)

Distribusi serangan email phishing itu dideteksi oleh perusahaan keamanan siber, eSentire, demikian seperti dikutip dari ThreatPost, diakses Selasa (6 April 2021).

Modus yang dilakukan mereka ialah tawaran lowongan kerja palsu dengan mengunduh file berbahaya yang ternyata berupa perangkat lunak “pintu belakang” (backdoor) bernama “trojan more_eggs”.

File jahat tersebut disisipkan dalam email dalam bentuk .zip. Nama file-nya menyesuikan posisi yang ditawarkan, misalnya, jika pekerjaan anggota LinkedIn terdaftar sebagai “Senior Account Executive—International Freight”, maka file .zip diberi judul “Senior Account Executive—International Freight position” (perhatikan 'posisi' ditambahkan di akhir).

“Saat membuka tawaran pekerjaan palsu, korban tanpa disadari memulai instalasi tersembunyi dari ‘pintu belakang’ tanpa file ‘more_eggs’,” tulis eSentire dalam laporannya.

Setelah diunduh, file “more_eggs” dapat mengambil perangkat lunak jahat (malware) tambahan dan memberikan akses ke sistem korban.

Geng Golden Chickens juga diketahui menjual “more_eggs” sebagai malware-as-a-service (MaaS) kepada penjahat siber lainnya. File ini biasa dipakai penjahat siber lain untuk mendapatkan pintu masuk awal di sistem korban sebelum menginstal jenis malware lain, seperti pencuri kredensial dan ransomware.

Direktur Unit Respons Ancaman eSentire, Rob McLeod, mengatakan, setidaknya ada tiga aspek spesifik dari “trojan more_eggs” yang membuatnya menjadi ancaman mengerikan.

Pertama, trojan tersebuti menyalahgunakan proses Windows normal untuk menghindari perangkat lunak antivirus. Kedua, penjahat siber menggunakan email spear-phishing yang dipersonalisasi efektif dalam membujuk korban untuk mengklik tawaran pekerjaan palsu.

“Yang mungkin paling merusak adalah malware tersebut mengeksploitasi pencari kerja yang putus asa untuk mencari pekerjaan di tengah pandemi global dan tingkat pengangguran yang meroket,” ujar dia.

Ketiga, meski eSentire belum dapat menentukan grup di balik “more_eggs”, tetapi mereka mengamati ada banyak grup yang menggunakan trojan tersebut, seperti,  grup FIN6, Cobalt Group, dan Evilnum, yang masing-masing menggunakan malware “more_eggs” sebagai layanan untuk tujuan mereka sendiri.

Misalnya, kelompok ancaman perbankan, FIN6, menggunakan “more_eggs” untuk menargetkan berbagai perusahaan e-niaga pada 2019. Pada saat yang sama, penyerang menggunakan “more_eggs” untuk melanggar sistem pembayaran online perusahaan ritel, hiburan dan farmasi.

Evilnum suka menyerang perusahaan teknologi keuangan, menurut eSentire, untuk mencuri spreadsheet, daftar pelanggan, dan kredensial perdagangan. Sementara Cobalt Group biasanya berfokus untuk menyerang perusahaan keuangan dengan “more_eggs”.

“Alih-alih menyerang para pengangguranr, tujuan serangan cenderung ditujukan kepada orang-orang yang bekerja dan memiliki akses ke data sensitif,” tulis laporan itu.[]

Redaktur: Andi Nugroho