گروه تهدید FIN6 با انگیزه مالی از رزومههای جعلی میزبانی شده روی زیرساخت آمازون وب سرویس (AWS) برای توزیع بدافزار More_eggs استفاده میکند. این گروه با جعل هویت متقاضیان کار در پلتفرمهایی مانند LinkedIn و Indeed، با استخدامکنندگان ارتباط برقرار کرده و پیامهای فیشینگ ارسال میکند. More_eggs یک بکدور مبتنی بر JavaScript است که توسط گروه Golden Chickens توسعه یافته و قابلیت سرقت اعتبارنامه، دسترسی سیستم و حملات بعدی از جمله باجافزار را دارد.
FIN6 که از سال ۲۰۱۲ فعال است، در ابتدا سیستمهای فروشگاهی در بخشهای هتلداری و خردهفروشی را هدف قرار میداد و اطلاعات کارتهای پرداخت را سرقت میکرد. در حملات جدید، این گروه از دامنههای جعلی ثبت شده به صورت ناشناس در GoDaddy و سرویسهای ابری معتبر مانند AWS برای میزبانی سایتهای فیشینگ استفاده میکند. این سایتها دارای منطق فیلترینگ ترافیک هستند که فقط به کاربران با IP مسکونی و مرورگرهای ویندوزی اجازه دانلود رزومه مخرب را میدهند، در حالی که برای کاربران VPN یا اسکنرهای امنیتی نسخه متنی بیضرر ارائه میدهند.
کلمات کلیدی : FIN6, بدافزار More_eggs, فیشینگ, باجافزار, AWS, LinkedIn, Indeed, JavaScript backdoor
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.