Karena semakin banyak perusahaan teknologi memberhentikan karyawan, banyak dari pekerja tersebut beralih ke jejaring sosial bisnis Microsoft, LinkedIn, untuk mencoba mencari pekerjaan baru. Namun, tampaknya sekelompok peretas memanfaatkan situasi ini dan memposting daftar pekerjaan palsu di LinkedIn dalam upaya mengirimkan malware ke pengguna yang tidak menaruh curiga.
Firma keamanan Mandiant memposting posting blog tentang aktivitas ini. Dia berkata bahwa dia berasal dari grup Korea Utara berlabel “UNC2970”. Dia mengatakan grup ini telah melakukan kampanye email phishing di masa lalu dengan tawaran pekerjaan. Namun, grup keamanan sekarang mengatakan bahwa UNC2970 memposting daftar pekerjaan palsu langsung di LinkedIn yang terlihat seperti tawaran nyata dari perusahaan nyata. Dia mengaku:
UNC2970 menggunakan akun ini untuk merekayasa target secara sosial agar terlibat di WhatsApp, di mana UNC2970 akan mengirimkan muatan phishing ke email target atau langsung ke WhatsApp.
Grup menggunakan pintu belakang PLANKWALK untuk mengirimkan paket perangkat lunaknya. Malware yang akhirnya dikirim disebut “TouchShift” dan dapat mendistribusikan program jahat lainnya seperti program tangkapan layar TouchShot dan pencatat penekanan tombol TouchKey. Sejauh ini, Microsoft belum mengomentari dugaan akun LinkedIn palsu yang memicu malware ini.
Sumber: Mandiant
