Хакеры из известной группировки FIN6 придумали новую схему взлома – они маскируются под соискателей работы для атак на рекрутеров с помощью вредоносного ПО.
Связываясь с HR-отделами на сайтах вроде LinkedIn или Indeed, хакеры отправляют поддельные резюме, содержащие фишинговые ссылки. Они ведут на якобы «личный сайт» соискателя. Ссылки представлены в формате личных сайтов «johnsmith.com».
– Поддельные ссылки созданы таким образом, чтобы обходить обнаружение и блокировку, требуя от получателей вручную вводить их в браузере, – говорит менеджер команды исследования AttackIQ Эндрю Костис. – Домены регистрируются анонимно и оснащены системами снятия цифровых отпечатков окружения и поведенческими проверками, чтобы гарантировать, что только цель может открыть целевые страницы.
В новом отчете DomainTools исследователи выявили ряд таких доменов, размещенных на инфраструктуре AWS, включая bobbyweisman.com, emersonkelly.com и davidlesnick.com.
– Вероятно, злоумышленники, стоящие за этими доменами, используют одноразовые или поддельные адреса электронной почты, анонимные или зарубежные IP-адреса, а также украденные способы оплаты для создания и поддержания этих аккаунтов, – отметили исследователи.
DomainTools сообщила, что одной из любимых полезных нагрузок группы является more_eggs – скрытый JavaScript-бэкдор, разработанный группой Venom Spider.
Вредоносное ПО more_eggs способствует краже учетных данных, получению доступа к системам и последующим атакам, включая использование программ-вымогателей.
Группа FIN6 имеет в своем арсенале множество уловок и схем взлома. Она компрометировала POS-системы для финансового мошенничества, расширилась до атак программами-вымогателями и совсем недавно использовала кампании социальной инженерии для доставки JavaScript-бэкдоров как услуги для кражи учетных данных. Этот обширный опыт делает их особенно угрожающими для незащищенных данных.
