I criminali informatici utilizzano sempre più spesso strumenti di gestione remota per prendere di mira persone in cerca di lavoro o potenziali candidati. Questi strumenti possono consentire il furto di dati o denaro o portare all'installazione di malware, come il ransomware, anche all'interno delle aziende.

Gli esperti hanno identificato diverse campagne in cui sono state inviate email fraudolente con inviti a presunti colloqui. Le email contengono un invito a una chiamata Zoom o Teams, presumibilmente per discutere di una posizione aperta. In realtà, i link portano a uno strumento di gestione remota (RMM) come SimpleHelp, ScreenConnect o Atera.

Strumenti RMM sfruttati come un RAT

Il software RMM viene legittimamente utilizzato dagli amministratori IT delle aziende per gestire da remoto il proprio inventario di computer. Se utilizzato in modo improprio, questo software ha le stesse capacità di un trojan di accesso remoto (RAT). Campagne recenti utilizzano indirizzi email compromessi o gli autori si spacciano per rappresentanti di aziende reali.

I mittenti hanno solitamente nomi associati a veri reclutatori o dipendenti dell'azienda. Il contenuto delle email fa riferimento a candidature di lavoro. Gli esperti di sicurezza di Proofpoint sono stati in grado di identificare diverse posizioni nelle email fraudolente che in realtà erano state pubblicizzate dalle aziende compromesse o impersonate.

In almeno un caso, gli esperti di Proofpoint hanno trovato prove di un account LinkedIn hackerato che pubblicava una descrizione di lavoro con un indirizzo Gmail utilizzando un'identità compromessa. Proofpoint ha rilevato questo indirizzo email in email fraudolente inviate a persone che apparentemente si erano candidate per la posizione. La persona la cui identità era stata compromessa si è accorta dell'attacco prima che Proofpoint potesse identificarla e ha rimosso il post fraudolento.
​

​ Offerte di lavoro esistenti modificate e abusate

I criminali informatici possono ottenere elenchi di potenziali bersagli in vari modi: creando falsi annunci di lavoro per raccogliere indirizzi email, compromettendo le caselle di posta o i social media dei recruiter o sfruttando un elenco di indirizzi email precedentemente rubato. Queste attività rientrano in una gamma più ampia di campagne email che distribuiscono strumenti RMM o software di accesso remoto (RAS). Proofpoint ha osservato email che impersonavano agenzie governative statunitensi, inviti a feste, istituti finanziari e altro ancora.

Gli strumenti RMM/RAS sono diventati molto popolari come payload iniziale. Invece di inviare RAT o infostealer, gli aggressori utilizzano gli RMM perché sono meno visibili nel traffico legittimo. Questo consente loro di rubare denaro o informazioni, o di installare malware aggiuntivo. Si consiglia a chi cerca lavoro di prestare particolare attenzione ai nomi e ai domini dei mittenti di coloro che li contattano, poiché queste identità potrebbero essere false. Se ricevono un file eseguibile o cliccano su un URL che ne rimanda a uno, è molto probabile che si tratti di un tentativo di truffa.

notizia da: https://b2b-cyber-security.de/
​