Bij het contacteren van recruiters en HR-afdelingen op sites als LinkedIn of Indeed, geeft een groep aanvallers, FIN6 genaamd, overtuigend ogende cv’s af met phishing-links erin. Die links leiden naar de ‘persoonlijke website’ van de sollicitant. Dat blijkt uit een nieuw rapport van DomainTools.
“De defecte links zijn zo gemaakt dat detectie en blokkering worden omzeild. Ontvangers moeten ze handmatig in hun browser moeten typen”, zegt Andrew Costis, technisch manager van het onderzoeksteam van de tegenstander bij AttackIQ tegen ITPro. “De domeinen worden anoniem geregistreerd en zijn uitgerust met omgevingsvingerafdrukken en gedragscontroles om te zorgen dat alleen het doelwit de bestemmingspagina’s kan openen.”
In een nieuw rapport van DomainTools identificeerden onderzoekers een aantal van deze domeinen die worden gehost op de AWS-infrastructuur, waaronder bobbyweisman, Emersonkelly en davidlesnick. Volgens de onderzoekers is het waarschijnlijk dat de actoren achter deze domeinen frauduleuze e-mailadressen, anonieme of buitenlandse IP-adressen en prepaid of gestolen betaalmethoden gebruiken om deze accounts aan te maken en te onderhouden. “Gecombineerd met gebruik van domeinnamen met een cv-thema en imitatietechnieken, stelt deze registratiestrategie FIN6 in staat om hun infrastructuur net lang genoeg in leven te houden om actieve phishing-campagnes uit te voeren, terwijl snelle verwijdering door beveiligingsonderzoekers of registrars wordt voorkomen.”
Professioneel ogend nep-cv
De onderzoekers zeiden dat de sites, als iemand ze opent, vaak een professioneel ogend nep-cv weergeven. Recruiters krijgen daarmee een vals gevoel van veiligheid. Ondertussen gebruiken de aanvallers verkeersfiltertechnieken om te controleren wie toegang heeft tot de kwaadaardige inhoud. Alleen gebruikers op residentiële IP-adressen en gebruikers van gewone Windows-gebaseerde browsers mogen het kwaadaardige document downloaden. Als de bezoeker komt via een bekende VPN-service, cloudinfrastructuur zoals AWS of bedrijfsbeveiligingsscanners, levert de site slechts een onschadelijke versie van het cv in platte tekst.
DomainTools zei dat een van de favoriete payloads van de groep more_eggs is, een sluipende JavaScript-gebaseerde achterdeur ontwikkeld door de Venom Spider-groep, ook bekend als Golden Chickens, en aangeboden als malware-as-a-service. Deze more_eggs-malware faciliteert diefstal van inloggegevens, systeemtoegang en vervolgaanvallen, waaronder het gebruik van ransomware. FIN6 gebruikt deze malware in elk geval al sinds 2018. Visa waarschuwde in 2019 al dat de groep zich richtte op e-commercebedrijven en skimming-malware op hun afrekenpagina’s.
Tip:
- Cybercriminelen jagen op vakantiegangers