FIN6 распространяет вирус More_eggs через фейковые резюме в LinkedIn

Группировка FIN6, известная своими финансовыми мотивами, использует поддельные резюме, размещенные на инфраструктуре Amazon Web Services (AWS), для распространения вредоносного ПО More_eggs. Об этом сообщила команда DomainTools Investigations (DTI).

Злоумышленники выдают себя за соискателей на LinkedIn и Indeed, устанавливают контакт с рекрутерами и отправляют фишинговые ссылки на якобы резюме. Эти домены регистрируются анонимно через GoDaddy, что усложняет их отслеживание.

Сайты с резюме размещены на AWS EC2 или S3 и используют фильтрацию трафика: только пользователи с резидентскими IP и стандартными браузерами получают вредоносный файл. Остальным показывают безобидный текст.

Что внутри

Скачанный архив содержит ZIP-файл, который запускает More_eggs — JavaScript-бэкдор, способный воровать данные, получать доступ к системе и даже разворачивать ransomware-атаки.

Кто стоит за этим

FIN6 действует с 2012 года, изначально специализировалась на краже данных платежных карт через POS-терминалы. Позже переключилась на e-commerce, используя Magecart-скиммеры. More_eggs разработан группой Golden Chickens, которая также создала TerraStealerV2 и TerraLogger.

Почему это эффективно

Социальная инженерия + доверие к облачным сервисам + CAPTCHA для отсеивания сканеров. Просто, но работает.

Если коротко: не качайте резюме с подозрительных сайтов, даже если они выглядят как личные портфолио. Особенно если перед скачиванием просят пройти капчу.