De phishing-e-mails zijn zorgvuldig ontworpen om op legitieme LinkedIn-meldingen te lijken. Ze gebruiken een verouderde LinkedIn-template van vóór 2020, waarschijnlijk om gebruikers te misleiden die vertrouwd zijn met oudere ontwerpen. Daarnaast doen de berichten zich voor als een offerteaanvraag van een verkoopdirecteur en bevatten ze een echte profielfoto om de geloofwaardigheid te verhogen. Het zogenaamd genoemde bedrijf, “DONGJIN Weidmüller Korea Ind.,” combineert namen van echte bedrijven, maar bestaat in werkelijkheid niet.
Ondanks het frauduleuze karakter weet de e-mail verschillende beveiligingsprotocollen te omzeilen. De Sender Policy Framework (SPF)-controle resulteert in een “softfail”, wat wijst op een ongeautoriseerd IP-adres. Bovendien ontbreekt een geldige DomainKeys Identified Mail (DKIM)-handtekening, die normaal gesproken aanwezig is in legitieme LinkedIn-communicatie. Een verkeerd geconfigureerd DMARC-beleid stelt de e-mail bovendien in staat om Microsoft Defender for Endpoint te omzeilen en rechtstreeks in de inbox van gebruikers te belanden in plaats van geblokkeerd te worden.
De aanval begint wanneer ontvangers op de knoppen “Lees meer” of “Beantwoorden” klikken, waardoor ongemerkt de installatie van de ConnectWise RAT wordt gestart. In plaats van een directe downloadopdracht te geven, bootst de campagne een legitieme zakelijke aanvraag na, waardoor zelfs oplettende gebruikers worden misleid die gewend zijn aan de LinkedIn-berichteninterface.
Deze aanval benadrukt de toenemende verfijning van phishingcampagnes en hoe cybercriminelen het vertrouwen in bekende merken misbruiken om beveiligingsmaatregelen te omzeilen. Een succesvolle aanval kan aanvallers op afstand toegang geven tot gevoelige systemen, wat kan leiden tot datalekken, operationele verstoringen en aanzienlijke financiële schade. Organisaties moeten hun e-mailauthenticatieprotocollen versterken, medewerkers trainen om phishingpogingen te herkennen en geavanceerde beveiligingsmaatregelen implementeren om zich te beschermen tegen deze steeds evoluerende dreigingen.
Source: eSecurity Planet
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.