译文声明

本文是翻译文章，文章原作者 Prajeet Nair，文章来源：govinfosecurity

原文地址：https://www.govinfosecurity.com/hackers-target-job-recruiters-through-malicious-resumes-a-28665

译文仅供参考，具体内容表达以及含义原文为准。

图片来源:Shutterstock

财务动机的黑客跟踪到FIN6已经翻转了关于工作欺诈的脚本,冒充求职者到网络招聘人员,并通过托管在可信云平台上的假简历部署隐形恶意软件。

DomainTools的研究人员发现,俄语小组,也被称为骷髅蜘蛛,在LinkedIn和Indeed上与招聘人员进行现实的简历和专业互动。目标是使用云托管基础设施提供恶意软件有效载荷,这些基础设施逃避传统检测工具。

多年来,黑客一直冒充招聘人员,以吸引求职者下载恶意软件,通常被认为是测试的一部分。特别是朝鲜黑客使用了这种方法,但他们的其他人也受到了他们榜样的启发(见:伊朗威胁行为者模仿朝鲜工作骗局技术)。

曾经因零售销售点违规而臭名昭着,自2014年活跃以来,FIN6已经多次发展其剧本。它可能带来了工作骗局的终极转折,与招聘人员建立融洽关系,而不是追求个人就业猎人。该骗局通过发送引用不可点击的简历URL的网络钓鱼消息进入高位。这迫使招聘人员手动将URLS输入浏览器 – 避开标记嵌入式链接的电子邮件安全工具。

网络域名,匿名注册,风格类似于合法申请人的名字,托管伪装成投资组合网站的登陆页面。这些页面基于Amazon Web Services基础架构构建,并具有流量过滤技术,可确定是否提供恶意软件或无害的诱饵。

只有用户似乎是人,例如来自住宅IP的连接,使用典型的基于Windows的浏览器并通过Captcha测试,才能收到zip文件。存档包含伪装成简历的恶意。lnk快捷方式。一旦点击,它就会触发下载更多_eggs后门,基于JavaScript的恶意软件链接到另一个网络犯罪组织Venom Spider。

More_eggs恶意软件完全在内存中执行,允许凭据窃取,远程命令执行和潜在的勒索软件交付。它使用原生Windows实用程序,如wscript.exe,regsvr32.exe和msxsl.exe避免触发安全警报,一种称为土地生活的技术,或使用LOLBins。

FIN6还通过Windows注册表项和计划任务建立持久性。

参与该活动的已确认域包括davidlesnick.com,kimberlykamara.com,alanpower.net和其他,都托管在 AWS 上。