كشف تقرير جديد عن قيام مجموعة التهديدات الإلكترونية FIN6 بنشر حملة تصيد احتيالي متطورة تستهدف مسؤولي التوظيف عبر منصتي لينكدإن وإنديد، باستخدام سير ذاتية مزيفة مستضافة على بنية أمازون السحابية (AWS).
آلية الهجوم:
-
إنشاء هويات وهمية لطالبي عمل على المنصات المهنية
-
التواصل مع مسؤولي التوظيف لبناء الثقة
-
إرسال روابط لمواقع شخصية مزيفة (مثل bobbyweisman[.]com)
-
استضافة السير الذاتية المزورة على خوادم AWS
التفاصيل التقنية:
-
التمويه المتقدم:
-
تسجيل النطاقات المزيفة عبر GoDaddy مع تفعيل خدمات الخصوصية
-
استخدام فلترة ذكية للزوار تسمح فقط:
-
بعرض النسخة الخبيثة لمستخدمي ويندوز العاديين
-
بعرض نسخة نظيفة للزوار من عناوين IP مشبوهة
-
-
-
آلية العدوى:
-
تحميل ملف ZIP يظهر كسيرة ذاتية
-
تنشيط سلسلة عدوى تنزل برمجية More_eggs الخبيثة
-
خلفية عن البرمجيات الخبيثة:
-
More_eggs هي برمجية خلفية (backdoor) تعمل بلغة JavaScript
-
طورتها مجموعة Golden Chickens الإجرامية
-
تستخدم لسرقة البيانات المالية وحقن أكواد ضارة في صفحات الدفع
خلفية عن FIN6:
-
مجموعة إجرامية إلكترونية نشطة منذ 2012
-
متخصصة في سرقة بيانات البطاقات الائتمانية
-
تستخدم أساليب متطورة بما في ذلك حقن أكواد Magecart
رد فعل AWS:
أكد متحدث رسمي لـ The Hacker News أن الشركة:
-
لديها سياسات واضعة تحظر الاستخدام غير القانوني
-
تتحقق بسرعة من أي تقارير عن انتهاكات
-
تشجع الباحثين على الإبلاغ عن أي إساءة محتملة
نصيحة أمنية:
ينصح الخبراء مسؤولي التوظيف بـ:
-
التحقق الدقيق من هويات المرشحين
-
فحص الملفات المشبوهة قبل تحميلها
-
استخدام حلول أمنية متطورة للكشف عن التهديدات
