针对人事部门的陷阱,攻击者利用AWS托管虚假简历在LinkedIn传播恶意软件
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
威胁组织FIN6利用AWS托管虚假简历,通过LinkedIn伪装求职者,诱导招聘人员点击钓鱼链接以窃取支付卡信息。More_eggs恶意软件具备凭证窃取和后续攻击能力,结合社交工程和云基础设施,成功规避检测。
🎯
关键要点
- 威胁组织FIN6利用AWS托管虚假简历传播恶意软件More_eggs。
- FIN6通过LinkedIn伪装求职者,诱导招聘人员点击钓鱼链接。
- More_eggs恶意软件具备凭证窃取和后续攻击能力。
- 该组织自2012年开始活跃,最初针对酒店和零售业的POS系统。
- FIN6在2018年开始使用More_eggs作为初始攻击载荷,窃取电商商户的支付卡信息。
- 攻击者使用社交工程手段,伪装成求职者联系招聘人员。
- 虚假域名通过GoDaddy匿名注册,增加追踪和关停难度。
- 钓鱼网站托管在AWS等可信云服务上,内置流量过滤机制。
- 下载的简历实为ZIP压缩包,解压后会触发恶意软件感染。
- FIN6的攻击表明低复杂度钓鱼攻击与云基础设施结合能产生显著效果。
❓
延伸问答
FIN6组织是如何利用LinkedIn传播恶意软件的?
FIN6通过伪装成求职者在LinkedIn与招聘人员联系,诱导他们点击包含恶意软件的钓鱼链接。
More_eggs恶意软件具备哪些功能?
More_eggs恶意软件具备凭证窃取、系统访问及后续攻击的能力,包括勒索软件。
FIN6组织的攻击目标最初是什么?
FIN6组织最初专门针对酒店和零售业的POS系统窃取支付卡信息。
攻击者是如何增加追踪和关停难度的?
攻击者通过GoDaddy匿名注册虚假域名,并利用隐私保护服务隐藏真实注册信息,增加追踪和关停难度。
FIN6如何利用云基础设施进行攻击?
FIN6使用AWS等可信云服务托管钓鱼网站,并内置流量过滤机制,以规避检测。
下载的简历实际上是什么?
下载的简历实为ZIP压缩包,解压后会触发恶意软件感染。
➡️
