- Domaintools repère des pirates créant de faux personnages de chercheur d’emploi
- Ils ciblent les recruteurs et les gestionnaires des ressources humaines avec la porte dérobée des œufs plus
- La porte dérobée peut voler des informations d’identification et exécuter les commandes
Les pirates prétendent maintenant être des demandeurs d’emploi, ciblant les recruteurs et les organisations avec des logiciels malveillants dangereux, a averti des experts.
Les chercheurs en cybersécurité Domaintools ont récemment repéré un acteur de menace connu sous le nom de FIN6 en utilisant cette méthode dans la nature, notant que les pirates créeraient d’abord des fausses personnalités sur LinkedIn et créeraient de faux sites Web de CV.
Les domaines du site Web sont achetés de manière anonyme via Godaddy et sont hébergés sur Amazon Web Services (AWS), pour éviter d’être signalé ou rapidement enlevé.
Plus d’oeufs
Les pirates contacteraient ensuite les recruteurs, les gestionnaires RH et les propriétaires d’entreprise sur LinkedIn, créant un rapport avant de déplacer la conversation vers le courrier électronique. Ensuite, ils partageraient le site Web de CV qui filtre les visiteurs en fonction de leur système d’exploitation et d’autres paramètres. Par exemple, les personnes venant par des connexions VPN ou cloud, ainsi que celles qui exécutent macOS ou Linux, sont servies de contenu bénin.
Ceux qui sont considérés comme un bon ajustement se sont d’abord servis un faux captcha, après quoi on leur propose une archive .zip à télécharger. Cette archive, dans ce que les recruteurs croient le CV, laisse en fait un fichier de raccourci Windows déguisé (LNK) qui exécute un script qui télécharge la porte dérobée “plus d’œufs”.
Plus d’ovules est une porte dérobée modulaire qui peut exécuter des commandes, voler des informations d’identification de connexion, fournir des charges utiles supplémentaires et exécuter PowerShell dans une attaque simple mais efficace reposant sur l’ingénierie sociale et l’évasion avancée.
AWS s’est depuis présenté pour remercier la communauté de la sécurité pour les conclusions et souligner que des campagnes comme celle-ci violent ses conditions de service et sont fréquemment retirées de la plate-forme.
“AWS a des conditions claires qui obligent nos clients à utiliser nos services conformément aux lois applicables”, a déclaré un porte-parole de l’AWS.
“Lorsque nous recevons des rapports de violations potentielles de nos conditions, nous agissons rapidement pour examiner et prendre des mesures pour désactiver le contenu interdit. Nous apprécions la collaboration avec la communauté de la recherche sur la sécurité et encourage les chercheurs à signaler les abus suspects à AWS Trust & Safety grâce à notre processus de déclaration des abus dédié.”
Via Bleepingcomputer
