Известная финансово-мотивированная киберпреступная группа FIN6 распространяет фейковые резюме, размещённые в инфраструктуре Amazon Web Services (AWS), чтобы установить вредоносное ПО под названием More_eggs.
FIN6
«Создавая ложные профили и вступая в переписку с рекрутерами через LinkedIn и Indeed, злоумышленники завоёвывают доверие, а затем отправляют фишинговые сообщения с ссылками, которые приводят к установке вредоносного ПО», — рассказали специалисты DomainTools Investigations (DTI) в своём отчёте.
Вредонос More_eggs был разработан другой преступной группировкой — Golden Chickens (известной также как Venom Spider), связанной с такими новыми семействами вредоносных программ, как TerraStealerV2 и TerraLogger. Этот JavaScript-бэкдор позволяет воровать учётные данные, получать удалённый доступ к системам и проводить последующие атаки, включая распространение программ-вымогателей.
Одним из клиентов этого вредоносного ПО является сама FIN6 (также известная под псевдонимами Camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider и TA4557). С 2012 года группа специализируется на взломах POS-систем в отелях и торговых сетях с целью кражи данных банковских карт и их дальнейшей перепродажи.
Также FIN6 известна применением JavaScript-майнеров Magecart для атак на сайты электронной коммерции, где они похищают финансовые данные клиентов.
По данным платёжной системы Visa, FIN6 использует More_eggs с 2018 года в качестве первого этапа проникновения в интернет-магазины для внедрения вредоносного JavaScript на страницы оформления заказов и кражи данных карточек.
«Похищенную платёжную информацию группа либо монетизирует самостоятельно, либо сбывает посредникам, а также размещает в открытом доступе на онлайн-рынках вроде JokerStash до его закрытия в начале 2021 года», — отмечают эксперты Secureworks, описывая деятельность FIN6.
В последних атаках FIN6 прибегает к социальной инженерии: злоумышленники связываются с рекрутерами на LinkedIn и Indeed, выдавая себя за соискателей. Им предлагают перейти по ссылке (например, bobbyweisman[.]com, ryanberardi[.]com), где якобы размещено их резюме.
Эксперты DomainTools отмечают, что эти сайты — поддельные портфолио, зарегистрированные анонимно через GoDaddy, что затрудняет выявление владельцев и блокировку ресурсов.
«Используя сервис приватности доменов GoDaddy, FIN6 скрывает настоящие данные регистратора, что осложняет работу правоохранительных органов и специалистов по безопасности, — поясняют исследователи. — Несмотря на хорошую репутацию GoDaddy, функции приватности позволяют злоумышленникам оставаться незамеченными.»
Ещё один приём — использование надёжных облачных сервисов AWS Elastic Compute Cloud (EC2) и S3 для создания фишинговых ресурсов с фильтрацией трафика: ссылка для загрузки резюме появляется только после прохождения CAPTCHA и доступна исключительно пользователям с домашних IP-адресов и популярными браузерами на Windows.
«Если посетитель подключается через VPN, облачную инфраструктуру или корпоративные системы безопасности, ему показывают лишь безопасную текстовую версию резюме», — рассказали в DomainTools.
Вредоносное резюме загружается в виде ZIP-архива, открытие которого запускает цепочку заражения и внедрение More_eggs.
«Кампания FIN6 под кодовым названием Skeleton Spider демонстрирует, насколько эффективны простые фишинговые методики в сочетании с возможностями облачной инфраструктуры и современными способами обхода защиты. Использование реалистичных вакансий, обход сканеров и защита капчей позволяют обойти большинство систем обнаружения», — подытоживают эксперты.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru