گروه هکری FIN6 که با انگیزه‌های مالی فعالیت می‌کند، اخیراً با استفاده از رزومه‌های جعلی میزبانی شده بر روی زیرساخت‌های آمازون وب سرویس (AWS)، بدافزار More_eggs را منتشر می‌کند.

این گروه با جعل هویت به عنوان جویندگان کار، از طریق پلتفرم‌هایی مانند لینکدین و Indeed با کارفرمایان ارتباط برقرار می‌کنند. پس از ایجاد اعتماد، پیام‌های فیشینگ حاوی بدافزار را ارسال می‌کنند.

بدافزار More_eggs محصول گروه سایبری دیگری به نام Golden Chickens است که اخیراً بدافزارهای جدیدی مانند TerraStealerV2 و TerraLogger را توسعه داده است. این بدافزار مبتنی بر جاوااسکریپت قادر به سرقت اطلاعات کاربری، دسترسی به سیستم و حملات بعدی از جمله باج‌افزار است.

گروه FIN6 از سال 2012 فعال بوده و ابتدا سیستم‌های فروش (POS) در بخش‌های خرده‌فروشی و هتلداری را برای سرقت اطلاعات کارت‌های پرداخت هدف قرار می‌داد. این گروه همچنین سابقه استفاده از اسکیمرهای جاوااسکریپت Magecart برای هدف قرار دادن سایت‌های تجارت الکترونیک دارد.

طبق گزارش شرکت ویزا، FIN6 از سال 2018 از More_eggs به عنوان بار مخرب مرحله اول برای نفوذ به فروشندگان آنلاین و تزریق کد مخرب جاوااسکریپت در صفحات پرداخت استفاده کرده است. اطلاعات کارت‌های سرقت شده سپس در بازارهای زیرزمینی مانند JokerStash فروخته می‌شد.

روش جدید حمله FIN6 شامل مراحل زیر است:

مهاجمان با کارفرمایان در پلتفرم‌های حرفه‌ای تماس می‌گیرند و خود را جویای کار معرفی می‌کنند. سپس لینکی برای دانلود رزومه ارسال می‌کنند که به دامنه‌های جعلی مانند bobbyweisman.com یا ryanberardi.com متصل است.

این دامنه‌های جعلی که به عنوان پورتفولیوی شخصی ظاهر می‌شوند، به صورت ناشناس از طریق GoDaddy ثبت شده‌اند. استفاده از خدمات حریم خصوصی GoDaddy، شناسایی و حذف این دامنه‌ها را دشوار می‌کند.

نکته قابل توجه دیگر، استفاده از خدمات ابری معتبر مانند AWS EC2 یا S3 برای میزبانی سایت‌های فیشینگ است. این سایت‌ها دارای منطق فیلترینگ ترافیک هستند تا اطمینان حاصل کنند که فقط قربانیان احتمالی به لینک دانلود دسترسی دارند.

سایت‌های مذکور فقط به کاربرانی که از آدرس‌های IP مسکونی و مرورگرهای معمولی ویندوز استفاده می‌کنند، اجازه دانلود فایل مخرب را می‌دهند. اگر بازدیدکننده از VPN، زیرساخت ابری یا اسکنرهای امنیتی شرکتی استفاده کند، به جای آن نسخه متنی بی‌ضرر رزومه نمایش داده می‌شود.

رزومه دانلود شده به صورت فایل ZIP است که پس از باز شدن، فرآیند آلودگی را آغاز کرده و بدافزار More_eggs را نصب می‌کند.

این کمپین نشان می‌دهد که چگونه حملات فیشینگ ساده می‌توانند با استفاده از زیرساخت ابری و تکنیک‌های فرار پیشرفته، بسیار مؤثر باشند. با استفاده از طعمه‌های واقع‌گرایانه شغلی، دور زدن اسکنرها و پنهان کردن بدافزار پشت دیوارهای CAPTCHA، مهاجمان از بسیاری از ابزارهای تشخیص جلوتر هستند.

پس از انتشار این گزارش، سخنگوی AWS اعلام کرد که این شرکت شرایط روشنی دارد که مشتریان را ملزم به استفاده قانونی از خدمات می‌کند. هنگام دریافت گزارش‌های تخلف احتمالی، AWS سریعاً اقدام به بررسی و غیرفعال‌سازی محتوای ممنوع می‌کند. این شرکت همکاری با جامعه تحقیقات امنیتی را ارج نهاده و محققان را تشویق می‌کند تا موارد سوءاستفاده مشکوک را از طریق فرآیند گزارش‌دهی اختصاصی به واحد اعتماد و ایمنی AWS گزارش دهند.