【安全资讯】黑客伪装求职者通过虚假简历网站传播恶意软件

概要：

近期，网络安全研究人员发现一起针对招聘人员的恶意软件攻击活动。黑客组织FIN6（又名Skeleton Spider）伪装成求职者在LinkedIn和Indeed等招聘网站上接触招聘人员，诱导他们访问托管在AWS上的虚假简历网站并下载恶意ZIP文件。该攻击利用了More_eggs后门程序，这是一种基于JavaScript的模块化恶意软件，能够远程执行命令、窃取凭证并投放额外恶意载荷。

主要内容：

FIN6组织近期转变了攻击策略，从窃取信用卡数据转向了更具针对性的社交工程攻击。他们首先在LinkedIn和Indeed等招聘网站上接触招聘人员，随后发送钓鱼邮件引导受害者访问看似合法的个人作品集网站。这些网站托管在AWS上，并通过GoDaddy匿名注册域名，增加了追踪难度。

攻击者精心设计了多个规避检测的环节。邮件中的域名未使用超链接，迫使受害者手动输入网址，从而绕过自动链接检测。网站还设置了CAPTCHA验证和其他环境检查，确保访问者是真实用户而非自动化扫描工具。

恶意ZIP文件中包含一个Windows快捷方式(.LNK)文件，该文件通过wscript.exe执行隐藏的JavaScript载荷。该脚本会连接攻击者的C&C服务器，下载并执行More_eggs后门程序。这种内存驻留技术使得恶意软件更难被检测。

研究人员指出，FIN6的攻击展示了如何将低复杂度的钓鱼攻击与云基础设施和高级规避技术相结合。通过使用真实的求职诱饵、绕过扫描器检测以及将恶意软件隐藏在CAPTCHA验证之后，该组织成功规避了许多安全工具的检测。