I en variant af typiske ansættelsesrelaterede social engineering-angreb udgiver hackergruppen FIN6 sig for at være jobsøgende.
Reelt har de virksomheder, som søger arbejdskraft, på sigtekornet.
Hackerne benytter sig af overbevisende CV'er og phishing-sider til at levere malware.
Det skriver BleepingComputer.
Den typiske social engineering-snyd sker ellers normalt med omvendt fortegn: De kriminelle udgiver sig for at være rekrutteringsbureauer for at lokke jobsøgende til at afgive vigtige personlige oplysninger.
Hackerne fra FIN6, som også er kendt som Skeleton Spider, gemmer sig bag falske jobsøgende personaer. De henvender sig til rekrutteringsbureauer og HR-afdelinger via beskeder på LinkedIn og Indeed, hvor de opbygger en god relation. Så følger de op med phishing-e-mails.
Phising-mailene, som er professionelt udformede, indeholder ikke-klikbare URL'er til hackernes "CV-websteder" for at undgå at blive opdaget og blokeret. Det tvinger modtagerne til at indtaste dem manuelt i deres browsere.
Domænerne, som er registreret anonymt via GoDaddy, hostes i Amazons cloudselskab AWS, som ellers er en betroet cloudtjeneste, der normalt ikke markeres af sikkerhedsværktøjer.
Stod oprindelig bag kreditkort-tyverier
FIN6 er oprindeligt kendt for at udføre økonomisk svindel, herunder at kompromittere salgssteder for at stjæle kreditkort.
I 2019 udvidede trusselaktørerne sig dog til ransomware-angreb og sluttede sig til eksisterende operationer som Ryuk og Lockergoga.
Gruppen har for nylig brugt social engineering-kampagner til at levere 'More Eggs', en malware-as-a-service JavaScript-bagdør, der bruges til tyveri af legitimationsoplysninger, systemadgang og ransomware-implementering.