O ator de ameaças motivado financeiramente conhecido como FIN6 foi observado utilizando currículos falsos hospedados na infraestrutura da Amazon Web Services (AWS) para entregar uma família de malware chamada More_eggs.
"Posando como candidatos a emprego e iniciando conversas através de plataformas como LinkedIn e Indeed, o grupo constrói um relacionamento com os recrutadores antes de entregar mensagens de phishing que levam ao malware", disse a equipe de DomainTools Investigations (DTI) em um relatório compartilhado com a imprensa.
More_eggs é o trabalho de outro grupo de cibercrime chamado Golden Chickens (também conhecido como Venom Spider), que foi mais recentemente atribuído a novas famílias de malware como TerraStealerV2 e TerraLogger.
Uma backdoor baseada em JavaScript, é capaz de possibilitar o roubo de credenciais, acesso ao sistema e ataques subsequentes, incluindo ransomware.
Um dos conhecidos clientes do malware é o FIN6 (também conhecido como Camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider e TA4557), uma equipe de e-crime que originalmente mirava sistemas de ponto de venda (PoS) nos setores de hospitalidade e varejo para roubar detalhes de cartões de pagamento e lucrar com eles.
Está operacional desde 2012.
O grupo de hacking também tem um histórico de uso de skimmers de JavaScript Magecart para mirar em sites de e-commerce a fim de colher informações financeiras.
De acordo com a empresa de serviços de cartão de pagamento Visa, o FIN6 usou More_eggs como um payload de primeira fase já em 2018 para infiltrar-se em vários comerciantes de e-commerce e injetar código JavaScript malicioso nas páginas de checkout com o objetivo final de roubar dados de cartões.
"Os dados de cartões de pagamento roubados são posteriormente monetizados pelo grupo, vendidos para intermediários ou vendidos abertamente em marketplaces como o JokerStash, antes de ser fechado no início de 2021", observa Secureworks em um perfil do ator de ameaça.
A atividade mais recente do FIN6 envolve o uso de engenharia social para iniciar contato com recrutadores em plataformas de emprego profissional como LinkedIn e Indeed, posando como candidatos a emprego para distribuir um link (por exemplo, bobbyweisman[.]com, ryanberardi[.]com) que pretende hospedar seu currículo.
DomainTools disse que os domínios falsos, que se disfarçam de portfólios pessoais, são registrados anonimamente através do GoDaddy para uma camada extra de ofuscação que torna os esforços de atribuição e desativação mais difíceis.
"Ao explorar os serviços de privacidade de domínio do GoDaddy, o FIN6 protege ainda mais os verdadeiros detalhes do registrante da visão pública e das equipes de desativação", disse a empresa.
"Embora o GoDaddy seja um registrador de domínio respeitável e amplamente utilizado, seus recursos de privacidade incorporados facilitam para que os atores de ameaças ocultem suas identidades." Outro aspecto notável é o uso de serviços de nuvem confiáveis, como o AWS Elastic Compute Cloud (EC2) ou S3, para hospedar sites de phishing.
Além disso, os sites vêm com lógica de filtragem de tráfego integrada para garantir que apenas vítimas em potencial recebam um link para baixar o suposto currículo após completar uma verificação CAPTCHA.
"Apenas usuários que parecem estar em endereços IP residenciais e usando navegadores baseados em Windows comuns têm permissão para baixar o documento malicioso", disse DomainTools.
Se o visitante se origina de um serviço VPN conhecido, infraestrutura de nuvem como a AWS ou scanners de segurança corporativa, o site entrega, em vez disso, uma versão inofensiva em texto simples do currículo. O currículo baixado toma a forma de um arquivo ZIP que, quando aberto, desencadeia uma sequência de infecção para implantar o malware More_eggs.
"A campanha Skeleton Spider do FIN6 mostra quão eficazes podem ser as campanhas de phishing de baixa complexidade quando combinadas com infraestrutura de nuvem e evasão avançada", concluíram os pesquisadores.
"Usando iscas de emprego realistas, burlando scanners e ocultando malware atrás de paredes CAPTCHA, eles permanecem à frente de muitas ferramentas de detecção." Atualização Após a publicação da história, um porta-voz da AWS compartilhou a seguinte declaração:
"A AWS tem termos claros que exigem que nossos clientes usem nossos serviços em conformidade com as leis aplicáveis.
Quando recebemos relatórios de possíveis violações de nossos termos, agimos rapidamente para revisar e tomar medidas para desabilitar conteúdo proibido.
Valorizamos a colaboração com a comunidade de pesquisa de segurança e incentivamos os pesquisadores a relatar suspeitas de abuso à AWS Trust & Safety por meio de nosso processo dedicado de relatórios de abuso."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...