Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 19 mei 2025

HR-afdelingen doelwit van aanvalscampagne

Er is een nieuwe cyberaanvalscampagne gedetecteerd die specifiek gericht is op HR-afdelingen. De groep achter deze aanvallen, bekend als Venom Spider, maakt gebruik van gerichte phishing-e-mails om HR-medewerkers te verleiden op een kwaadaardige link te klikken. Hierdoor wordt een backdoor genaamd 'More_eggs' geïnstalleerd op het apparaat van het slachtoffer, waarmee aanvallers toegang kunnen krijgen tot gevoelige informatie zoals inloggegevens, intellectueel eigendom en betalingsgegevens van klanten.

Security Data protection
HR-afdelingen doelwit van aanvalscampagne image

Arctic Wolf heeft hiervoor een waarschuwing uitgegeven. Venom Spider is een financieel gemotiveerde groep die eerder organisaties aanviel via legitieme vacaturesites zoals LinkedIn. Sinds de pandemie hebben ze hun methoden aangepast en richten ze zich nu specifiek op HR-afdelingen, uitbuitend van de groeiende trend van online werving.

Gericht op recruiters en HR-managers

Sinds oktober 2023 heeft Venom Spider deze campagne geïntensiveerd, waarbij ze zich rechtstreeks richten op recruiters en HR-managers. Ze sturen phishinglinks die ogenschijnlijk afkomstig zijn van werkzoekenden. Deze links leiden echter naar een schadelijke website waar recruiters een cv kunnen downloaden. Op deze site moeten gebruikers een CAPTCHA invullen, een methode om automatische scanners te omzeilen. Na het invullen van de CAPTCHA wordt een zip-bestand gedownload, dat het slachtoffer aanziet voor het cv. In werkelijkheid bevat het zip-bestand een kwaadaardig Windows-snelkoppelingsbestand (.lnk) en een afbeeldingsbestand. Het .lnk-bestand is de schadelijke payload, terwijl het afbeeldingsbestand dient als afleiding.

De infrastructuur van de aanvallers maakt gebruik van serverpolymorfisme, waardoor bij elke download een nieuw kwaadaardig .lnk-bestand wordt gegenereerd. Hierbij wordt de code verborgen en de bestandsgrootte telkens gewijzigd.

Schadelijke payloads vermomd als cv's

“Sollicitanten voegen steeds vaker links toe naar hun eigen digitale portfolio als ze gaan solliciteren en cybercriminelen zoals Venom Spider maken hier graag misbruik van. Door legitieme sollicitaties te imiteren en het vertrouwen van HR-medewerkers in een veilige werkomgeving te misbruiken, kunnen cybercriminelen schadelijke payloads die zijn vermomd als cv’s uploaden op het device van het slachtoffer. Tenzij recruiters specifiek zijn getraind in het herkennen van dit soort social engineering-aanvallen, is het voor hen niet altijd duidelijk dat ze de legitimiteit van wat zij als echte cv-bestanden beschouwen, in twijfel moeten trekken. Aangezien we verwachten dat cybercriminelen de komende jaren door zullen gaan met dit soort aanvallen, is het belangrijker dan ooit om HR-medewerkers te trainen om social engineering-aanvallen te herkennen”, zegt Ismael Valenzuela, VP of Threat Intelligence bij Arctic Wolf.

Meer informatie over de aanvalscampagne van Venom Spider is hier te vinden.

DIC Security Day BW tm 1 juli 2025 EGP 06/05/2025 t/m 03/06/2025 BW

Dutch IT events

Event icon

Event

SAIL 2025

Event icon

Event

Dutch IT Security Day

Alle events
Portland Europe BW+BN tm 22-05-2025

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.