En un giro en los típicos ataques de ingeniería social relacionados con la contratación, el grupo de hackers FIN6 se hace pasar por solicitantes de empleo para dirigirse a los reclutadores, utilizando currículos convincentes y sitios de phishing para entregar malware.
FIN6 (también conocido como «Skeleton Spider«) es un grupo de piratas informáticos que inicialmente era conocido por realizar fraudes financieros, incluido el compromiso de sistemas de punto de venta (PoS) para robar tarjetas de crédito. Sin embargo, en 2019, los actores de amenazas se expandieron a ataques de ransomware, uniéndose a operaciones existentes como Ryuk y Lockergoga.
El grupo ha utilizado recientemente campañas de ingeniería social para ofrecer ‘More Eggs‘, una puerta trasera de JavaScript de malware como servicio, utilizada para el robo de credenciales, el acceso al sistema y la implementación de ransomware.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
En un nuevo informe de DomainTools, los investigadores detallan cómo FIN6 está cambiando la típica estafa de empleo al hacerse pasar por solicitantes de empleo para dirigirse a los reclutadores, en lugar de hacerse pasar por reclutadores para atraer a los solicitantes de empleo. Escondiéndose detrás de personas falsas, se acercan a los reclutadores y a los departamentos de recursos humanos a través de mensajes en LinkedIn e Indeed, donde establecen una relación antes de seguir con correos electrónicos de phishing.
Estos correos electrónicos, que están diseñados profesionalmente, contienen URL no clicables a sus «sitios de currículum» para evadir la detección y el bloqueo, lo que obliga a los destinatarios a escribirlas manualmente en sus navegadores.
