Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как FIN6 атакует HR через фейковые резюме

1 мин
Исследователи компании DomainTools сообщили о новой кампании группы FIN6, в рамках которой хакеры выдают себя за соискателей работы, чтобы внедрять вредоносное ПО через поддельные сайты резюме. Атаки ориентированы на сотрудников HR-отделов, рекрутеров и владельцев компаний, с которыми устанавливается контакт через LinkedIn. По данным экспертов, злоумышленники создают вымышленные профили, оформленные как реальные страницы кандидатов. Для маскировки своей деятельности они регистрируют домены анонимно через GoDaddy и размещают сайты на мощностях Amazon Web Services. Такой подход помогает избежать быстрой блокировки и прохождения фильтров безопасности. После знакомства через LinkedIn хакеры переводят общение на e-mail и отправляют ссылку на поддельный сайт с якобы профессиональным резюме. Ресурс определяет параметры устройства посетителя и фильтрует контент. Если система засечёт VPN, облачную инфраструктуру или операционные системы macOS и Linux, откроется безвредная страница. В случае выя
Изображение: Souvik Banerjee (unsplash)
Изображение: Souvik Banerjee (unsplash)

Исследователи компании DomainTools сообщили о новой кампании группы FIN6, в рамках которой хакеры выдают себя за соискателей работы, чтобы внедрять вредоносное ПО через поддельные сайты резюме. Атаки ориентированы на сотрудников HR-отделов, рекрутеров и владельцев компаний, с которыми устанавливается контакт через LinkedIn.

По данным экспертов, злоумышленники создают вымышленные профили, оформленные как реальные страницы кандидатов. Для маскировки своей деятельности они регистрируют домены анонимно через GoDaddy и размещают сайты на мощностях Amazon Web Services. Такой подход помогает избежать быстрой блокировки и прохождения фильтров безопасности.

После знакомства через LinkedIn хакеры переводят общение на e-mail и отправляют ссылку на поддельный сайт с якобы профессиональным резюме. Ресурс определяет параметры устройства посетителя и фильтрует контент. Если система засечёт VPN, облачную инфраструктуру или операционные системы macOS и Linux, откроется безвредная страница. В случае выявления потенциальной жертвы на Windows, пользователь сначала проходит фальшивую CAPTCHA, а затем получает архив .ZIP.

Файл в архиве содержит замаскированный ярлык Windows (LNK), запускающий скрипт, загружающий вредоносный модуль «More Eggs». Это многофункциональный бэкдор, способный выполнять удалённые команды, внедрять дополнительное ПО, извлекать учётные данные и запускать PowerShell-команды на заражённом устройстве. Вся операция базируется на социальной инженерии и задействует сложные механизмы обхода защитных систем.

Представители Amazon Web Services подтвердили, что такие кампании нарушают условия использования платформы. Представитель компании сообщил, что AWS оперативно реагирует на обращения, проверяет подозрительный контент и удаляет ресурсы, задействованные в нарушении. В компании подчеркнули важность взаимодействия с экспертами в сфере кибербезопасности и призвали направлять сообщения о злоупотреблениях через специальную процедуру, действующую в рамках AWS Trust & Safety.

Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют вредоносное ПО через поддельные резюме и фальшивые профили соискателей на LinkedIn".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.