Οι χάκερ έχουν βρει μια νέα μέθοδο για να εξαπατούν εταιρείες και υπεύθυνους προσλήψεων: παριστάνουν τους υποψηφίους για εργασία και διασπείρουν επικίνδυνο κακόβουλο λογισμικό τύπου backdoor, προειδοποιούν ειδικοί στον τομέα της κυβερνοασφάλειας.
Σύμφωνα με ερευνητές της DomainTools, μια γνωστή εγκληματική ομάδα στον κυβερνοχώρο με την ονομασία FIN6, χρησιμοποιεί αυτή την τακτική μεθοδικά. Οι χάκερ δημιουργούν ψεύτικα προφίλ στο LinkedIn και συνοδευτικά ψεύτικα websites-βιογραφικά, τα οποία φαίνονται απολύτως νόμιμα.
Τα domain names των ιστότοπων αγοράζονται ανώνυμα μέσω GoDaddy και φιλοξενούνται σε υποδομές της Amazon Web Services (AWS), ώστε να αποφεύγουν εύκολα εντοπισμό ή κατέβασμα από τις αρχές ή τις πλατφόρμες.
Το επόμενο βήμα περιλαμβάνει την αποστολή αιτημάτων σύνδεσης σε recruiters, στελέχη ανθρώπινου δυναμικού και ιδιοκτήτες επιχειρήσεων στο LinkedIn. Αφού δημιουργήσουν μια σχέση εμπιστοσύνης, μεταφέρουν τη συζήτηση στο email, όπου στέλνουν τον σύνδεσμο για το «βιογραφικό».
Το site αυτό φιλτράρει τους επισκέπτες ανάλογα με το λειτουργικό σύστημα και άλλες παραμέτρους. Όσοι συνδέονται μέσω VPN, cloud υπηρεσιών, ή χρησιμοποιούν macOS και Linux, βλέπουν μόνο αθώο περιεχόμενο. Οι υπόλοιποι, όμως, βλέπουν πρώτα ένα ψεύτικο CAPTCHA, και στη συνέχεια καλούνται να κατεβάσουν ένα αρχείο .ZIP.
Μέσα στο αρχείο αυτό βρίσκεται ένα παραπλανητικό Windows shortcut (LNK), το οποίο εκτελεί σενάριο (script) που κατεβάζει το “More Eggs” – ένα επικίνδυνο modular backdoor.
Το More Eggs επιτρέπει στους χάκερ:
Η επίθεση αυτή συνδυάζει κοινωνική μηχανική με εξελιγμένες τεχνικές απόκρυψης, καθιστώντας την ιδιαίτερα δύσκολη στον εντοπισμό.
Η Amazon Web Services ευχαρίστησε τους ερευνητές για την αποκάλυψη και τόνισε ότι τέτοιες πρακτικές παραβιάζουν ξεκάθαρα τους όρους χρήσης της πλατφόρμας.
«Η AWS έχει σαφείς όρους που απαιτούν από τους πελάτες να χρησιμοποιούν τις υπηρεσίες μας σύμφωνα με την ισχύουσα νομοθεσία», δήλωσε εκπρόσωπος της εταιρείας.
«Όταν λαμβάνουμε αναφορές για πιθανές παραβάσεις, ενεργούμε άμεσα για να τις ερευνήσουμε και να απενεργοποιήσουμε τυχόν παράνομο περιεχόμενο. Εκτιμούμε τη συνεργασία με την κοινότητα της κυβερνοασφάλειας και ενθαρρύνουμε τους ερευνητές να αναφέρουν οποιαδήποτε ύποπτη δραστηριότητα μέσω της ειδικής διαδικασίας του AWS Trust & Safety.»
