Se ha observado que un actor de amenaza de motivación financiera conocido como FIN6 aprovecha los currículums falsos alojados en la infraestructura de Amazon Web Services (AWS) para proporcionar una familia de malware llamada More_EGGS.
«Al lanzar conversaciones a través de plataformas como LinkedIn, bajo la apariencia de solicitantes de empleo, el grupo en realidad construye relaciones con los reclutadores antes de entregar mensajes de phishing que conducen al malware», dijo el equipo de Investigaciones de Doma -Doma -Investigaciones (DTI) en un informe compartido con Hacker News.
More_eggs es un trabajo de otro grupo de delitos cibernéticos llamado Golden Chickens (también conocido como Venom Spider), que recientemente se ha atribuido a una nueva familia de malware como TerraStealerv2 y Terralogger. Backdoors basados en JavaScript puede habilitar ataques posteriores que incluyen credenciales, acceso al sistema y ransomware.
Un cliente conocido por el malware es FIN6 (también conocido como Camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider y TA4557). Ha estado operativo desde 2012.
Los grupos de piratería también tienen un historial de uso de Skimmers de Magecart JavaScript para dirigirse a sitios de comercio electrónico para recopilar información financiera.
Según Visa de la compañía de servicios de tarjetas de pago, FIN6 ha utilizado más_eggs como una carga útil de la primera etapa hasta 2018 para infiltrarse en varios comerciantes de comercio electrónico, insertando código JavaScript malicioso en la página de pago para establecer el objetivo final de robar datos de la tarjeta.
«Los datos de las tarjetas de pago robadas serán monetizadas por el grupo, vendidos a intermediarios y se vendieron abiertamente en mercados como Jokerstash antes de cerrar a principios de 2021», dijo Secureworks en el perfil de los actores de amenazas.
Las últimas actividades de FIN6 incluyen el uso de la ingeniería social para iniciar el contacto con reclutadores en plataformas de empleo profesionales como LinkedIn, y de hecho, pose como buscador de empleo que distribuye enlaces (por ejemplo, Bobbyweisman () com, Ryanberardi (.) Com).
Domaintoools dijo que los dominios falsos disfrazados de carteras individuales se han registrado de forma anónima a través de Adaddy y anónimamente debido a la capa adicional de ofuscación que hace que los atributos y los esfuerzos de eliminación sean más difíciles.
«Al aprovechar los servicios de privacidad de dominio de GoDaddy, Fin6 protege aún más los verdaderos detalles del suscriptor de la vista pública y el equipo de eliminación», dijo la compañía. «Godaddy es un registrador de dominio bien reputado y ampliamente utilizado, pero sus características de privacidad incorporadas permiten a los actores de amenaza ocultar fácilmente su identidad».
Otro aspecto notable es utilizar servicios de nube de confianza como AWS Elastic Compute Cloud (EC2) y S3 para alojar sitios de phishing. Además, el sitio viene con una lógica de filtrado de tráfico incorporada para que solo se proporcionen futuras víctimas con un enlace para descargar el currículum esperado después de completar el cheque Captcha.
«Solo los usuarios que parecen estar en una dirección IP de inicio pueden descargar documentos maliciosos utilizando un navegador típico basado en Windows», dijo Domaineols. «Si el visitante proviene de un servicio VPN conocido, una infraestructura en la nube como AWS o un escáner de seguridad corporativo, este sitio proporcionará una versión inofensiva de texto plano de su currículum».
El currículum descargado toma la forma de un archivo zip que desencadena una secuencia de infección cuando se abre para implementar el malware más_eggs.
«La campaña Skeleton Spider de Fin6 demuestra cuán efectiva es una campaña de phishing de baja complejidad cuando se combina con la infraestructura de la nube y la evasión avanzada», concluyeron los investigadores. «Estamos por delante de muchas herramientas de detección utilizando señuelos de trabajo realistas, pasando por alto el escáner y ocultando el malware detrás de las paredes de la captura».
Source link
