Verschillende bedrijven die op de vacaturesite CareerBuilder naar personeel zochten zijn het doelwit van een geraffineerde aanval geworden. Via CareerBuilder kunnen werkzoekenden op beschikbare vacatures reageren door een C.V. te uploaden. Bedrijven krijgen zodra de C.V. is geüpload een e-mail dat ze die kunnen downloaden.

Beveiligingsbedrijf Proofpoint zegt dat het een aanval heeft ontdekt waarbij cybercriminelen kwaadaardige C.V.'s uploaden. Het gaat om bestanden met de naam "resume.doc" en "cv.doc". De documenten maken misbruik van twee kwetsbaarheden in Microsoft Office die in 2012 en 2014 door Microsoft werden gepatcht. In het geval de documenten op ongepatchte computers worden geopend kan er malware worden geïnstalleerd. De malware doet zich daarbij voor als een afbeelding om niet op te vallen.

Het gaat om een backdoor die de TeamViewer-applicatie bevat. Dit is volgens Proofpoint een legitieme clouddienst waarmee computers op afstand kunnen worden bestuurd. Niet alleen wordt TeamViewer door sommige bedrijven gebruikt en zou daardoor niet opvallen, ook helpt de applicatie bij het omzeilen van NAT-beperkingen. Zowel de server als de client maken namelijk eerst een verbinding met een endpoint in de cloud, voordat ze met elkaar verbinding maken.

Hoewel de aanval meer tijd en moeite van de aanvallers vereist, is de kans dat het bestand wordt geopend groter dan bij willekeurig verstuurde documenten, aldus Proofpoint. De aanvallers maken namelijk gebruik van de diensten van een bestaande website. Het zijn ook legitieme e-mails die de ontvangers op de geüploade documenten wijzen. Documenten die de ontvangers juist verwachten en willen openen. De waargenomen aanvallen waren gericht tegen energiebedrijven, televisiemaatschappijen, kredietinstellingen en elektriciteitsleveranciers. Of ze ook zijn geslaagd en wie erachter zit is onbekend.