Хакеры начали обманывать рекрутеров для получения ценных конфиденциальных данных различных организаций в рамках новой киберпреступной операции, которую реализуют представители группировки TA4557. Об этом в своём новом отчёте рассказала профильная компания по информационной безопасности Proofpoint.
Специалисты по информационной безопасностиProofpoint обнаружили, что на первом этапе своей кибероперации хакеры рассылают отделам кадров крупных международных компаний электронные письма. В них содержится ссылка на фейковое резюме. Внешне эти электронные письма смотрятся абсолютно легальными и настоящими. В них «кандидат» рассказывает о себе и выражает заинтересованность в предложенной вакансии. Если HR-специалист компании отвечает на это письмо, хакеры начинают реализацию довольно интересной и многоступенчатой атаки.
В рамках реализации мошеннической схемы хакеры разрабатывают полноценные сайты, имитирующие популярные платформы по поиску работы. Эти страницы выглядят достаточно правдоподобно, поэтому рекрутеры многих компаний не подозревают о существующей опасности.
После того, как HR-специалист перейдёт по ссылке из мошеннического электронного письма, он перенаправляется на эту поддельную платформу поиска работы. Там просят пройти несколько тестов и проверок, якобы для того, чтобы полностью заполнить профиль и начать поиск подходящих кандидатов. После того, как все проверки будут пройдены, пользователь перенаправляется на веб-страницу с интересующим его резюме, представленным в текстовом виде. На этой странице под видом капчи происходит запуск загрузки вредоносного файла, который эксплуатирует уязвимости программного обеспечения для выполнения PowerShell-скрипта LOTL.
В результате на устройство пользователя устанавливается вредоносное программное обеспечение бэкдор More_Eggs, создающее скрытый процесс MSXSL, маскируясь под стандартные системные службы.
В связи с этим аналитики компании Proofpoint рекомендуют всем компаниям, использующим сторонние платформы для поиска кандидатов и найма персонала, изучить указанную выше тактику хакерской группировки. Также они советуют провести дополнительное обучение персонала HR-департамента основным правилам информационной безопасности.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
