De financieel gemotiveerde dreigingsacteur bekend als FIN6 is waargenomen met behulp van nep -cv’s gehost op Amazon Web Services (AWS) -infrastructuur om een malwarefamilie te leveren genaamd More_Eggs.
“Door zich voor te doen als werkzoekenden en gesprekken te initiëren via platforms zoals LinkedIn en inderdaad, bouwt de groep een rapport op met recruiters voordat hij phishing -berichten levert die leiden tot malware,” zei het Domaintools Investigations (DTI) -team in een rapport gedeeld met het Hacker News.
More_Eggs is het werk van een andere cybercrime -groep genaamd Golden Chickens (aka Venom Spider), die het meest recent werd toegeschreven aan nieuwe malwarefamilies zoals Terrastealerv2 en Terralogger. Een op JavaScript gebaseerde achterdeur, het is in staat om diefstal van referenties, systeemtoegang en vervolgaanvallen, inclusief ransomware, mogelijk te maken.
Een van de bekende klanten van de malware is FIN6 (aka camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider en TA4557), een e-misdaadbemanning die oorspronkelijk richtte op Point-of-Sale (POS) -systemen in de gastvrijheids- en retailsectoren om betaalkaartdetails te stelen en te profiteren van hen. Het is operationeel sinds 2012.
De hackgroep heeft ook een geschiedenis van het gebruik van Magecart JavaScript-skimmers om e-commerce sites te richten om financiële informatie te oogsten.
Volgens Paying Card Services Company Visa heeft Fin6 meer_eggs gebruikt als een payload in de eerste fase om al in 2018 te infiltreren om verschillende e-commerce-handelaren te infiltreren en kwaadaardige JavaScript-code in de kassa te injecteren met het ultieme doel om kaartgegevens te stelen.
“Gegevens gestolen betalingskaart worden later gemonetiseerd door de groep, verkocht aan intermediairs, of openlijk verkocht op marktplaatsen zoals JokerStash, voordat het begin 2021 wordt afgesloten,” noteert SecureWorks in een profiel van de dreigingsacteur.
De nieuwste activiteit van FIN6 omvat het gebruik van social engineering om contact te maken met recruiters op professionele banenplatforms zoals LinkedIn en inderdaad, die zich voordoet als werkzoekenden om een link te distribueren (bijv. Bobbyweisman (.) Com, Ryanberardi (.) Com) die beweert hun CV te organiseren.
Domaintools zei dat de nep -domeinen, die zich voordoen als persoonlijke portefeuilles, anoniem zijn geregistreerd via GoDaddy voor een extra laag verduistering die toeschrijving en verwijderingsinspanningen moeilijker maakt.
“Door de Domain Privacy Services van GoDaddy te exploiteren, beschermt Fin6 de echte registrantsgegevens van het publieke beeld en het Takedown -team verder,” zei het bedrijf. “Hoewel GoDaddy een gerenommeerde en veelgebruikte domeinregistrar is, maken de ingebouwde privacyfuncties het voor bedreigingsacteurs gemakkelijk om hun identiteit te verbergen.”
Een ander opmerkelijk aspect is het gebruik van vertrouwde cloudservices, zoals AWS Elastic Compute Cloud (EC2) of S3, om phishing -sites te hosten. Wat meer is, de sites worden geleverd met ingebouwde verkeersfilterlogica om ervoor te zorgen dat alleen potentiële slachtoffers een link worden geserveerd om het veronderstelde CV te downloaden na het voltooien van een Captcha-controle.
“Alleen gebruikers die op residentiële IP-adressen lijken te zijn en gebruikelijke windows-gebaseerde browsers mogen het kwaadaardige document downloaden,” zei Domaintools. “Als de bezoeker afkomstig is van een bekende VPN-service, cloudinfrastructuur zoals AWS, of bedrijfsbeveiligingsscanners, levert de site in plaats daarvan een onschadelijke versie met eenvoudige tekst van de CV.”
Het gedownloade CV neemt de vorm aan van een zip -archief dat, wanneer geopend, een infectiescène activeert om de More_Eggs -malware te implementeren.
“Fin6’s skeletspider-campagne laat zien hoe effectieve phishing-campagnes met lage complexiteit kunnen zijn in combinatie met cloudinfrastructuur en geavanceerde ontwijking,” concludeerden de onderzoekers. “Door realistische taken te gebruiken, scanners te omzeilen en malware achter Captcha Walls te verbergen, blijven ze veel detectietools voor.”
