Olarak bilinen finansal olarak motive olmuş tehdit aktörü Fin6 More_Eggs adlı kötü amaçlı bir aile sunmak için Amazon Web Services (AWS) altyapısında barındırılan sahte özgeçmişlerden yararlandığı gözlendi.
Domaintools Araştırmaları (DTI) ekibi, hacker News ile paylaşılan bir raporda, “İş arayanlar olarak poz vererek ve LinkedIn gibi platformlar aracılığıyla konuşmalar başlatarak, grup kötü amaçlı yazılımlara yol açan kimlik avı mesajları vermeden önce işverenlerle ilişki kurar.” Dedi.
More_Eggs, en son Terrasealerv2 ve Terralogger gibi yeni kötü amaçlı yazılım ailelerine atfedilen Golden Chickens (aka Venom Spider) adlı başka bir siber suç grubunun çalışmasıdır. JavaScript tabanlı bir arka kapı, fidye yazılımı da dahil olmak üzere kimlik hırsızlığı, sistem erişimi ve takip saldırılarını etkinleştirebilir.
Kötü amaçlı yazılımların bilinen müşterilerinden biri, ödeme kartı detaylarını çalmak ve bunları kâr etmek için misafirperverlik ve perakende sektörlerindeki satış noktası (POS) sistemlerini hedefleyen bir e-suç ekibi olan FIN6 (diğer adıyla kamuflaj Tempest, Gold Franklin, ITG08, Skeleton Spider ve TA4557). 2012’den beri faaliyet gösteriyor.
Hacking grubu ayrıca, finansal bilgileri toplamak için e-ticaret sitelerini hedeflemek için Magecart JavaScript skimmer’lerini kullanma geçmişine sahiptir.
Ödeme kartı hizmetleri şirketi Visa’ya göre, Fin6, birkaç e-ticaret tüccarına sızmak ve kart verilerini çalmak amacıyla nihai hedefi ile ödeme sayfalarına kötü niyetli JavaScript kod enjekte etmek için 2018’e kadar birinci aşama yük olarak More_Eggs’den yararlandı.
Secureworks notları, “Çalınan ödeme kartı verileri daha sonra grup tarafından para kazanır, aracılara satılır veya Jokerstash gibi pazarlarda açıkça satılır.”
Fin6’dan gelen en son etkinlik, LinkedIn gibi profesyonel iş platformlarında işe alım görevlileriyle temas kurmak için sosyal mühendisliğin kullanımını ve gerçekten de bir bağlantı dağıtmak için iş arayanlar olarak poz veriyor (örn. Bobbyweisman[.]com, Ryanberardi[.]com) özgeçmişlerine ev sahipliği yapmayı iddia ediyor.
Domaintools, kişisel portföy olarak maskelenen sahte alanların, atıf ve yayından kaldırma çabalarını zorlaştıran ekstra bir şaşkınlık katmanı için Godaddy aracılığıyla anonim olarak kayıtlı olduğunu söyledi.
Şirket, “GodAddy’nin etki alanı gizlilik hizmetlerinden yararlanarak FIN6, gerçek tescil ettiren ayrıntılarını kamuoyu ve yayından kaldırma ekibinden daha da koruyor.” Dedi. “GodAddy saygın ve yaygın olarak kullanılan bir etki alanı kayıt şirketi olmasına rağmen, yerleşik gizlilik özellikleri tehdit aktörlerinin kimliklerini gizlemelerini kolaylaştırıyor.”
Dikkate değer bir diğer yön, kimlik avı sitelerine ev sahipliği yapmak için AWS Elastik Compute Cloud (EC2) veya S3 gibi güvenilir bulut hizmetlerinin kullanılmasıdır. Dahası, siteler, bir captcha çekini tamamladıktan sonra sözde özgeçmişi indirmek için sadece potansiyel kurbanlara bir bağlantı sunulmasını sağlamak için yerleşik trafik filtreleme mantığı ile birlikte gelir.
Domaintools, “Yalnızca konut IP adreslerinde bulunuyor ve ortak Windows tabanlı tarayıcıları kullanan kullanıcıların kötü niyetli belgeyi indirmesine izin verilir.” Dedi. “Ziyaretçi bilinen bir VPN hizmetinden, AWS gibi bulut altyapısından veya kurumsal güvenlik tarayıcılarından kaynaklanıyorsa, site bunun yerine özgeçmişin zararsız bir düz metin versiyonunu sunar.”
İndirilen özgeçmiş, açıldığında More_Eggs kötü amaçlı yazılımını dağıtmak için bir enfeksiyon dizisini tetikleyen bir zip arşivi biçimini alır.
Araştırmacılar, “Fin6’nın İskelet Örümcek Kampanyası, bulut altyapısı ve ileri kaçırma ile eşleştirildiğinde düşük karmaşıklık kimlik avı kampanyalarının ne kadar etkili olabileceğini gösteriyor.” “Gerçekçi iş yemini kullanarak, tarayıcılarını atlayarak ve Captcha duvarlarının arkasındaki kötü amaçlı yazılımları saklayarak, birçok algılama aracının önünde kalıyorlar.”