El actor de amenaza de motivación financiera conocido como Fina Se ha observado que aprovechan los currículums falsos alojados en la infraestructura de Amazon Web Services (AWS) para entregar una familia de malware llamada More_EGGS.
«Al hacerse pasar por los solicitantes de empleo e iniciar conversaciones a través de plataformas como LinkedIn y, de hecho, el grupo construye una buena relación con los reclutadores antes de entregar mensajes de phishing que conducen a malware», dijo el equipo de Investigaciones de Doma -Doma -Investigaciones (DTI) en un informe compartido con The Hacker News.
More_Eggs es el trabajo de otro grupo de delitos cibernéticos llamado Golden Chickens (también conocido como Venom Spider), que recientemente se atribuyó a nuevas familias de malware como Terrasterealerv2 y Terralogger. Una puerta trasera basada en JavaScript, es capaz de permitir el robo de credenciales, el acceso al sistema y los ataques de seguimiento, incluido el ransomware.
Uno de los clientes conocidos del malware es FIN6 (también conocido como Camuflage Tempest, Gold Franklin, ITG08, Skeleton Spider y Ta4557), un equipo de delitos electrónicos que originalmente se dirigió a los sistemas de punto de venta (POS) en los sectores de hospitalidad y minoristas para robar detalles de la tarjeta de pago y beneficiarse de ellos. Está operativo desde 2012.
El grupo de piratería también tiene un historial de uso de Skimmers de Magecart JavaScript para atacar a los sitios de comercio electrónico para cosechar información financiera.
Según Visa de la compañía de servicios de tarjetas de pago, Fin6 ha aprovechado más_eggs como una carga útil de la primera etapa desde 2018 para infiltrarse en varios comerciantes de comercio electrónico e inyectar código de JavaScript malicioso en las páginas de pago con el objetivo final de robar datos de tarjetas.
«Los datos de la tarjeta de pago robado son monetizados posteriormente por el grupo, vendidos a intermediarios o se venden abiertamente en mercados como Jokerstash, antes de que se apague a principios de 2021», señala Secureworks en un perfil del actor de amenazas.
La última actividad de FIN6 implica el uso de la ingeniería social para iniciar el contacto con reclutadores en plataformas de trabajo profesionales como LinkedIn y, de hecho, que se hace pasar por los solicitantes de empleo para distribuir un enlace (por ejemplo, Bobbyweisman (.) Com, Ryanberardi (.) Com) que pretende organizar su currículum.
Domaineols dijo que los dominios falsos, que se disfrazan de carteras personales, se registran de forma anónima a través de GoDaddy para una capa adicional de ofuscación que dificulta la atribución y los esfuerzos de eliminación.
«Al explotar los servicios de privacidad de dominio de GoDaddy, Fin6 protege aún más los verdaderos detalles del registrante del equipo de vista pública y de demanda», dijo la compañía. «Aunque GoDaddy es un registrador de dominio de buena reputación y ampliamente utilizado, sus características de privacidad incorporadas facilitan que los actores de amenaza oculten sus identidades».
Otro aspecto notable es el uso de servicios de nube de confianza, como AWS Elastic Compute Cloud (EC2) o S3, para alojar sitios de phishing. Además, los sitios vienen con una lógica de filtrado de tráfico incorporado para garantizar que solo las posibles víctimas reciban un enlace para descargar el supuesto currículum después de completar un cheque Captcha.
«Solo los usuarios que parecen estar en direcciones IP residenciales y el uso de navegadores comunes basados en Windows pueden descargar el documento malicioso», dijo Domainteols. «Si el visitante se origina en un servicio VPN conocido, infraestructura en la nube como AWS o escáneres de seguridad corporativa, el sitio ofrece una versión inofensiva de texto simple del currículum».
El currículum descargado toma la forma de un archivo zip que, cuando se abre, desencadena una secuencia de infección para implementar el malware más_eggs.
«La campaña Skeleton Spider de Fin6 muestra cuán efectivas pueden ser las campañas de phishing de baja complejidad cuando se combinan con infraestructura en la nube y evasión avanzada», concluyeron los investigadores. «Al usar señuelos de trabajo realistas, evitar escáneres y ocultar malware detrás de Captcha Walls, se mantienen por delante de muchas herramientas de detección».