Aktor ancaman yang dimotivasi secara finansial yang dikenal sebagai Fin6 telah diamati memanfaatkan resume palsu yang di -host di infrastruktur Amazon Web Services (AWS) untuk mengirimkan keluarga malware yang disebut More_eggs.
“Dengan menyamar sebagai pencari kerja dan memulai percakapan melalui platform seperti LinkedIn dan memang, grup ini membangun hubungan dengan perekrut sebelum menyampaikan pesan phishing yang mengarah pada malware,” kata tim Investigations (DTI) Domaintools (DTI) dalam laporan yang dibagikan dengan Hacker News.
More_eggs adalah karya kelompok kejahatan cyber lain yang disebut Golden Chickens (alias Venom Spider), yang paling baru dikaitkan dengan keluarga malware baru seperti TerrasteAlerv2 dan Terralogger. Sebuah backdoor berbasis JavaScript, mampu memungkinkan pencurian kredensial, akses sistem, dan serangan lanjutan, termasuk ransomware.
Salah satu pelanggan malware yang diketahui adalah FIN6 (alias Tempest Kamus, Gold Franklin, ITG08, Skeleton Spider, dan TA4557), kru E-Crime yang awalnya menargetkan sistem titik penjualan (POS) di sektor keramahtamahan dan ritel untuk mencuri detail kartu pembayaran dan menguntungkan mereka. Ini operasional sejak 2012.
Grup peretasan juga memiliki riwayat menggunakan skimmers Magecart Javascript untuk menargetkan situs e-commerce untuk memanen informasi keuangan.
Menurut perusahaan layanan kartu pembayaran Visa, FIN6 telah memanfaatkan More_eggs sebagai muatan tahap pertama sejauh 2018 untuk menyusup ke beberapa pedagang e-commerce dan menyuntikkan kode javascript berbahaya ke dalam halaman checkout dengan tujuan utama mencuri data kartu.
“Data kartu pembayaran yang dicuri kemudian dimonetisasi oleh grup, dijual kepada perantara, atau dijual secara terbuka di pasar seperti JokerStass, sebelum ditutup pada awal 2021,” catatan SecureWorks dalam profil aktor ancaman.
Kegiatan terbaru dari FIN6 melibatkan penggunaan rekayasa sosial untuk memulai kontak dengan perekrut di platform pekerjaan profesional seperti LinkedIn dan memang, menyamar sebagai pencari kerja untuk mendistribusikan tautan (misalnya, Bobbyweisman[.]com, Ryanberardi[.]com) yang dimaksudkan untuk menjadi tuan rumah resume mereka.
Domaintools mengatakan domain palsu, yang menyamar sebagai portofolio pribadi, terdaftar secara anonim melalui GoDaddy untuk lapisan tambahan kebingungan yang membuat atribusi dan upaya pencopotan lebih sulit.
“Dengan mengeksploitasi layanan privasi domain GoDaddy, Fin6 lebih lanjut melindungi rincian pendaftar yang sebenarnya dari pandangan publik dan tim pencopotan,” kata perusahaan itu. “Meskipun GoDaddy adalah pendaftar domain yang memiliki reputasi baik dan banyak digunakan, fitur privasi bawaannya memudahkan para aktor ancaman untuk menyembunyikan identitas mereka.”
Aspek penting lainnya adalah penggunaan layanan cloud tepercaya, seperti AWS Elastic Compute Cloud (EC2) atau S3, untuk meng -host situs phishing. Terlebih lagi, situs-situs tersebut dilengkapi dengan logika penyaringan lalu lintas bawaan untuk memastikan bahwa hanya calon korban yang dilayani tautan untuk mengunduh resume yang seharusnya setelah menyelesaikan cek captcha.
“Hanya pengguna yang tampaknya berada di alamat IP perumahan dan menggunakan browser berbasis Windows umum yang diizinkan untuk mengunduh dokumen berbahaya,” kata Domaintools. “Jika pengunjung berasal dari layanan VPN yang diketahui, infrastruktur cloud seperti AWS, atau pemindai keamanan perusahaan, situs tersebut sebaliknya memberikan versi resume teks polos yang tidak berbahaya.”
Resume yang diunduh mengambil bentuk arsip zip yang, ketika dibuka, memicu urutan infeksi untuk menggunakan malware More_eggs.
“Kampanye Spider Kerangka Fin6 menunjukkan seberapa efektif kampanye phishing kompleksitas rendah ketika dipasangkan dengan infrastruktur cloud dan penghindaran lanjutan,” pungkas para peneliti. “Dengan menggunakan umpan pekerjaan yang realistis, melewati pemindai, dan menyembunyikan malware di belakang dinding captcha, mereka tetap di depan banyak alat deteksi.”
