Οι hackers FIN6 στοχεύουν υπεύθυνους προσλήψεων
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers FIN6 στοχεύουν υπεύθυνους προσλήψεων
https://www.secnews.gr/650648/hackers-fin6-stoxeuoun-ipeuthinous-proslipseon/
Jun 11th 2025, 12:38
by Digital Fortress
Μια νέα τακτική social engineering υιοθετεί η διαβόητη hacking ομάδα FIN6, στρέφοντας το ενδιαφέρον της στους υπεύθυνους προσλήψεων. Αντί να προσποιούνται ότι είναι recruiters για να δελεάσουν ανυποψίαστους υποψηφίους – όπως συνηθίζεται σε απάτες τύπου job scam – τα μέλη της FIN6 πλασάρονται ως υποψήφιοι εργαζόμενοι, παρουσιάζοντας φαινομενικά αυθεντικά βιογραφικά και phishing ιστοσελίδες για να διανείμουν κακόβουλο λογισμικό.
Η ομάδα, γνωστή και με την ονομασία Skeleton Spider, έχει ιστορικό στις χρηματοοικονομικές απάτες, με ιδιαίτερη έμφαση στην παραβίαση τερματικών σημείων πώλησης (PoS) για την κλοπή δεδομένων πιστωτικών καρτών. Από το 2019, όμως, η δραστηριότητά της έχει μετατοπιστεί σε πιο επιθετικές μορφές επίθεσης, όπως η διάδοση ransomware (συνεργαζόμενη με διαβόητες επιχειρήσεις όπως οι Ryuk και LockerGoga).
Δείτε επίσης: Marks & Spencer: Οι hackers έστειλαν απειλητικό email στον CEO
FIN6: Νέες επιθέσεις στοχεύουν υπεύθυνους προσλήψεων
Σύμφωνα με νέα έκθεση της DomainTools, οι επιθέσεις ξεκινούν μέσω δημοφιλών πλατφορμών επαγγελματικής δικτύωσης όπως το LinkedIn και το Indeed, όπου οι κυβερνοεγκληματίες δημιουργούν ψεύτικα προφίλ υποψηφίων για θέσεις εργασίας. Μέσω αυτών , έρχονται σε επαφή με recruiters, καλλιεργώντας ένα κλίμα εμπιστοσύνης πριν προχωρήσουν στην αποστολή phishing email.
Τα phishing μηνύματα είναι καλογραμμένα και επαγγελματικά, περιέχοντας συνδέσμους προς υποτιθέμενους ιστότοπους που φιλοξενούν βιογραφικά. Ωστόσο, οι σύνδεσμοι παρουσιάζονται ως non-clickable — μια τακτική που αποσκοπεί στην παράκαμψη φίλτρων ασφαλείας, αναγκάζοντας τους παραλήπτες να πληκτρολογήσουν τη διεύθυνση χειροκίνητα στο browser τους.
Η ομάδα hacking FIN6 αξιοποιεί ψεύτικες ιστοσελίδες που φιλοξενούνται στο AWS, καταχωρημένες ανώνυμα μέσω του GoDaddy, για να παρακάμψει τα παραδοσιακά φίλτρα ασφαλείας και να παγιδεύσει τους υπεύθυνους προσλήψεων.
Τα domains, τα οποία βασίζονται στις ψεύτικες περσόνες που χρησιμοποιούνται στις επιθέσεις, παραμένουν δυσδιάκριτα για τα εργαλεία ανίχνευσης απειλών, χάρη στη φιλοξενία τους σε έμπιστα cloud περιβάλλοντα.
Παραδείγματα phishing domains
Ορισμένα από τα domains, που έχουν καταγραφεί στην καμπάνια, περιλαμβάνουν:
• bobbyweisman[.]com
• emersonkelly[.]com
• davidlesnick[.]com
• kimberlykamara[.]com
• annalanyi[.]com
• bobbybradley[.]net
• malenebutler[.]com
• lorinash[.]com
• alanpower[.]net
• edwarddhall[.]com
Όλες αυτές οι ιστοσελίδες παρουσιάζονται ως επαγγελματικά portfolios, ωστόσο, έχουν σχεδιαστεί προσεκτικά για να ενεργοποιούνται μόνο σε συγκεκριμένα περιβάλλοντα, από τους επιλεγμένους στόχους.
Δείτε επίσης: Hackers εκμεταλλεύονται παλιά παραβίαση δεδομένων της AT&T
Η FIN6 έχει ενσωματώσει έξυπνα φίλτρα βάσει περιβάλλοντος (environmental fingerprinting), αποκλείοντας την πρόσβαση από Linux/macOS και τις επισκέψεις μέσω VPN και cloud υπηρεσιών. Σε αυτές τις περιπτώσεις, εμφανίζεται ουδέτερο περιεχόμενο, κρύβοντας τη δραστηριότητα από ερευνητές ασφαλείας.
Όταν ένας στόχος πληροί τα επιθυμητά κριτήρια, οδηγείται σε ένα ψεύτικο CAPTCHA, το οποίο αποτελεί το τελευταίο στάδιο πριν του ζητηθεί να κατεβάσει ένα φαινομενικά αθώο αρχείο ZIP. Αντί για βιογραφικό, το αρχείο περιέχει ένα κακόβουλο αρχείο LNK (Windows shortcut), σχεδιασμένο να εκτελεί ένα script που εγκαθιστά το "More Eggs" backdoor στο σύστημα του θύματος.
More_eggs malware
Το More_eggs, ένα εξελιγμένο backdoor που αποδίδεται σε μια ομάδα γνωστή ως Venom Spider, επανεμφανίζεται ως βασικό εργαλείο στα χέρια της FIN6. Πρόκειται για ένα modular backdoor, ικανό να εκτελεί εντολές, να υποκλέπτει διαπιστευτήρια, να αναπτύσσει επιπλέον payloads και να αξιοποιεί PowerShell για περαιτέρω διείσδυση.
Η προσέγγιση που υιοθετεί η FIN6 χαρακτηρίζεται από απλότητα αλλά υψηλή αποτελεσματικότητα, αξιοποιώντας τεχνικές κοινωνικής μηχανικής και προηγμένες μεθόδους αποφυγής εντοπισμού.
Προειδοποίηση προς HR και υπεύθυνους προσλήψεων
Οι επαγγελματίες στον χώρο του ανθρώπινου δυναμικού καλούνται να επιδεικνύουν αυξημένη προσοχή σε αιτήματα ελέγχου βιογραφικών που προέρχονται από εξωτερικούς συνδέσμους, ειδικά όταν απαιτείται η λήψη αρχείων από άγνωστους ιστότοπους.
Δείτε επίσης: ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;
Εταιρείες και γραφεία προσλήψεων θα πρέπει να υιοθετήσουν επιπλέον στάδια επαλήθευσης, όπως η άμεση επικοινωνία με τα άτομα και η επικοινωνία με παλιούς εργοδότες που αναφέρονται από τους υποψηφίους στις πρώτες συνομιλίες.
Αντίδραση της Amazon για τη χρήση του AWS στην εκστρατεία
Με αφορμή την κακόβουλη χρήση της πλατφόρμας AWS για τη φιλοξενία των domains της FIN6, εκπρόσωπος της Amazon σχολίασε στο BleepingComputer:
«Η AWS διαθέτει αυστηρούς όρους που απαιτούν από τους πελάτες να συμμορφώνονται με τους ισχύοντες νόμους. Όταν λαμβάνουμε αναφορές για πιθανές παραβιάσεις, κινούμαστε άμεσα για να διερευνήσουμε και να απενεργοποιήσουμε οποιοδήποτε περιεχόμενο παραβιάζει τους κανόνες μας. Εκτιμούμε τη συνεργασία με την κοινότητα κυβερνοασφάλειας και ενθαρρύνουμε τους ερευνητές να μας αναφέρουν περιστατικά μέσω της επίσημης διαδικασίας AWS Trust & Safety».
Προστασία από phishing
Δεδομένου ότι οι μολύνσεις γίνονται μέσω phishing emails, είναι σημαντικό να γνωρίζετε πώς μπορείτε να προστατευτείτε από αυτή την απειλή:
Να είστε προσεκτικοί με απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου: Εάν λάβετε ένα email από άγνωστο αποστολέα και ζητά ευαίσθητες πληροφορίες ή ζητά να ανοίξετε ή να κατεβάσετε ένα αρχείο, να είστε προσεκτικοί. Ελέγχετε πάντα τον υποτιθέμενο αποστολέα μέσω ενός ξεχωριστού καναλιού επικοινωνίας πριν απαντήσετε.
Έλεγχος διευθύνσεων URL: Τοποθετήστε το δείκτη του ποντικιού σας πάνω από τυχόν συνδέσμους στο email και ελέγξτε αν ταιριάζουν με τη διεύθυνση URL που εμφανίζεται στο κείμενο του email. Εάν δεν ταιριάζουν, μπορεί να είναι σημάδι απάτης.
Μην ανοίγετε συνημμένα από άγνωστες πηγές: Το άνοιγμα συνημμένων από άγνωστους αποστολείς μπορεί ενδεχομένως να μολύνει τον υπολογιστή σας με κακόβουλο λογισμικό ή ransomware. Εάν δεν είστε σίγουροι για ένα συνημμένο, μην το ρισκάρετε.
Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων: Αυτό προσθέτει ένα πρόσθετο επίπεδο ασφάλειας απαιτώντας περισσότερα από έναν κωδικό πρόσβασης για την πρόσβαση σε λογαριασμούς και συστήματα. Μπορεί να αποτρέψει τους hackers από το να αποκτήσουν πρόσβαση ακόμα κι αν έχουν αποκτήσει διαπιστευτήρια σύνδεσης μέσω επίθεσης spear-phishing.
Μείνετε ενημερωμένοι για νέες απειλές: Μείνετε ενημερωμένοι για τις πιο πρόσφατες μεθόδους που χρησιμοποιούνται σε επιθέσεις spear-phishing και ενημερωθείτε για το πώς να τις αναγνωρίζετε.
Χρησιμοποιήστε λογισμικό κατά του phishing: Υπάρχουν διάφορα διαθέσιμα εργαλεία κατά του phishing που μπορούν να βοηθήσουν στον εντοπισμό και την πρόληψη αυτών των επιθέσεων. Σκεφτείτε να χρησιμοποιήσετε ένα για πρόσθετη προστασία.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers FIN6 στοχεύουν υπεύθυνους προσλήψεων
https://www.secnews.gr/650648/hackers-fin6-stoxeuoun-ipeuthinous-proslipseon/
Jun 11th 2025, 12:38
by Digital Fortress
Μια νέα τακτική social engineering υιοθετεί η διαβόητη hacking ομάδα FIN6, στρέφοντας το ενδιαφέρον της στους υπεύθυνους προσλήψεων. Αντί να προσποιούνται ότι είναι recruiters για να δελεάσουν ανυποψίαστους υποψηφίους – όπως συνηθίζεται σε απάτες τύπου job scam – τα μέλη της FIN6 πλασάρονται ως υποψήφιοι εργαζόμενοι, παρουσιάζοντας φαινομενικά αυθεντικά βιογραφικά και phishing ιστοσελίδες για να διανείμουν κακόβουλο λογισμικό.
Η ομάδα, γνωστή και με την ονομασία Skeleton Spider, έχει ιστορικό στις χρηματοοικονομικές απάτες, με ιδιαίτερη έμφαση στην παραβίαση τερματικών σημείων πώλησης (PoS) για την κλοπή δεδομένων πιστωτικών καρτών. Από το 2019, όμως, η δραστηριότητά της έχει μετατοπιστεί σε πιο επιθετικές μορφές επίθεσης, όπως η διάδοση ransomware (συνεργαζόμενη με διαβόητες επιχειρήσεις όπως οι Ryuk και LockerGoga).
Δείτε επίσης: Marks & Spencer: Οι hackers έστειλαν απειλητικό email στον CEO
FIN6: Νέες επιθέσεις στοχεύουν υπεύθυνους προσλήψεων
Σύμφωνα με νέα έκθεση της DomainTools, οι επιθέσεις ξεκινούν μέσω δημοφιλών πλατφορμών επαγγελματικής δικτύωσης όπως το LinkedIn και το Indeed, όπου οι κυβερνοεγκληματίες δημιουργούν ψεύτικα προφίλ υποψηφίων για θέσεις εργασίας. Μέσω αυτών , έρχονται σε επαφή με recruiters, καλλιεργώντας ένα κλίμα εμπιστοσύνης πριν προχωρήσουν στην αποστολή phishing email.
Τα phishing μηνύματα είναι καλογραμμένα και επαγγελματικά, περιέχοντας συνδέσμους προς υποτιθέμενους ιστότοπους που φιλοξενούν βιογραφικά. Ωστόσο, οι σύνδεσμοι παρουσιάζονται ως non-clickable — μια τακτική που αποσκοπεί στην παράκαμψη φίλτρων ασφαλείας, αναγκάζοντας τους παραλήπτες να πληκτρολογήσουν τη διεύθυνση χειροκίνητα στο browser τους.
Η ομάδα hacking FIN6 αξιοποιεί ψεύτικες ιστοσελίδες που φιλοξενούνται στο AWS, καταχωρημένες ανώνυμα μέσω του GoDaddy, για να παρακάμψει τα παραδοσιακά φίλτρα ασφαλείας και να παγιδεύσει τους υπεύθυνους προσλήψεων.
Τα domains, τα οποία βασίζονται στις ψεύτικες περσόνες που χρησιμοποιούνται στις επιθέσεις, παραμένουν δυσδιάκριτα για τα εργαλεία ανίχνευσης απειλών, χάρη στη φιλοξενία τους σε έμπιστα cloud περιβάλλοντα.
Παραδείγματα phishing domains
Ορισμένα από τα domains, που έχουν καταγραφεί στην καμπάνια, περιλαμβάνουν:
• bobbyweisman[.]com
• emersonkelly[.]com
• davidlesnick[.]com
• kimberlykamara[.]com
• annalanyi[.]com
• bobbybradley[.]net
• malenebutler[.]com
• lorinash[.]com
• alanpower[.]net
• edwarddhall[.]com
Όλες αυτές οι ιστοσελίδες παρουσιάζονται ως επαγγελματικά portfolios, ωστόσο, έχουν σχεδιαστεί προσεκτικά για να ενεργοποιούνται μόνο σε συγκεκριμένα περιβάλλοντα, από τους επιλεγμένους στόχους.
Δείτε επίσης: Hackers εκμεταλλεύονται παλιά παραβίαση δεδομένων της AT&T
Η FIN6 έχει ενσωματώσει έξυπνα φίλτρα βάσει περιβάλλοντος (environmental fingerprinting), αποκλείοντας την πρόσβαση από Linux/macOS και τις επισκέψεις μέσω VPN και cloud υπηρεσιών. Σε αυτές τις περιπτώσεις, εμφανίζεται ουδέτερο περιεχόμενο, κρύβοντας τη δραστηριότητα από ερευνητές ασφαλείας.
Όταν ένας στόχος πληροί τα επιθυμητά κριτήρια, οδηγείται σε ένα ψεύτικο CAPTCHA, το οποίο αποτελεί το τελευταίο στάδιο πριν του ζητηθεί να κατεβάσει ένα φαινομενικά αθώο αρχείο ZIP. Αντί για βιογραφικό, το αρχείο περιέχει ένα κακόβουλο αρχείο LNK (Windows shortcut), σχεδιασμένο να εκτελεί ένα script που εγκαθιστά το "More Eggs" backdoor στο σύστημα του θύματος.
More_eggs malware
Το More_eggs, ένα εξελιγμένο backdoor που αποδίδεται σε μια ομάδα γνωστή ως Venom Spider, επανεμφανίζεται ως βασικό εργαλείο στα χέρια της FIN6. Πρόκειται για ένα modular backdoor, ικανό να εκτελεί εντολές, να υποκλέπτει διαπιστευτήρια, να αναπτύσσει επιπλέον payloads και να αξιοποιεί PowerShell για περαιτέρω διείσδυση.
Η προσέγγιση που υιοθετεί η FIN6 χαρακτηρίζεται από απλότητα αλλά υψηλή αποτελεσματικότητα, αξιοποιώντας τεχνικές κοινωνικής μηχανικής και προηγμένες μεθόδους αποφυγής εντοπισμού.
Προειδοποίηση προς HR και υπεύθυνους προσλήψεων
Οι επαγγελματίες στον χώρο του ανθρώπινου δυναμικού καλούνται να επιδεικνύουν αυξημένη προσοχή σε αιτήματα ελέγχου βιογραφικών που προέρχονται από εξωτερικούς συνδέσμους, ειδικά όταν απαιτείται η λήψη αρχείων από άγνωστους ιστότοπους.
Δείτε επίσης: ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;
Εταιρείες και γραφεία προσλήψεων θα πρέπει να υιοθετήσουν επιπλέον στάδια επαλήθευσης, όπως η άμεση επικοινωνία με τα άτομα και η επικοινωνία με παλιούς εργοδότες που αναφέρονται από τους υποψηφίους στις πρώτες συνομιλίες.
Αντίδραση της Amazon για τη χρήση του AWS στην εκστρατεία
Με αφορμή την κακόβουλη χρήση της πλατφόρμας AWS για τη φιλοξενία των domains της FIN6, εκπρόσωπος της Amazon σχολίασε στο BleepingComputer:
«Η AWS διαθέτει αυστηρούς όρους που απαιτούν από τους πελάτες να συμμορφώνονται με τους ισχύοντες νόμους. Όταν λαμβάνουμε αναφορές για πιθανές παραβιάσεις, κινούμαστε άμεσα για να διερευνήσουμε και να απενεργοποιήσουμε οποιοδήποτε περιεχόμενο παραβιάζει τους κανόνες μας. Εκτιμούμε τη συνεργασία με την κοινότητα κυβερνοασφάλειας και ενθαρρύνουμε τους ερευνητές να μας αναφέρουν περιστατικά μέσω της επίσημης διαδικασίας AWS Trust & Safety».
Προστασία από phishing
Δεδομένου ότι οι μολύνσεις γίνονται μέσω phishing emails, είναι σημαντικό να γνωρίζετε πώς μπορείτε να προστατευτείτε από αυτή την απειλή:
Να είστε προσεκτικοί με απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου: Εάν λάβετε ένα email από άγνωστο αποστολέα και ζητά ευαίσθητες πληροφορίες ή ζητά να ανοίξετε ή να κατεβάσετε ένα αρχείο, να είστε προσεκτικοί. Ελέγχετε πάντα τον υποτιθέμενο αποστολέα μέσω ενός ξεχωριστού καναλιού επικοινωνίας πριν απαντήσετε.
Έλεγχος διευθύνσεων URL: Τοποθετήστε το δείκτη του ποντικιού σας πάνω από τυχόν συνδέσμους στο email και ελέγξτε αν ταιριάζουν με τη διεύθυνση URL που εμφανίζεται στο κείμενο του email. Εάν δεν ταιριάζουν, μπορεί να είναι σημάδι απάτης.
Μην ανοίγετε συνημμένα από άγνωστες πηγές: Το άνοιγμα συνημμένων από άγνωστους αποστολείς μπορεί ενδεχομένως να μολύνει τον υπολογιστή σας με κακόβουλο λογισμικό ή ransomware. Εάν δεν είστε σίγουροι για ένα συνημμένο, μην το ρισκάρετε.
Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων: Αυτό προσθέτει ένα πρόσθετο επίπεδο ασφάλειας απαιτώντας περισσότερα από έναν κωδικό πρόσβασης για την πρόσβαση σε λογαριασμούς και συστήματα. Μπορεί να αποτρέψει τους hackers από το να αποκτήσουν πρόσβαση ακόμα κι αν έχουν αποκτήσει διαπιστευτήρια σύνδεσης μέσω επίθεσης spear-phishing.
Μείνετε ενημερωμένοι για νέες απειλές: Μείνετε ενημερωμένοι για τις πιο πρόσφατες μεθόδους που χρησιμοποιούνται σε επιθέσεις spear-phishing και ενημερωθείτε για το πώς να τις αναγνωρίζετε.
Χρησιμοποιήστε λογισμικό κατά του phishing: Υπάρχουν διάφορα διαθέσιμα εργαλεία κατά του phishing που μπορούν να βοηθήσουν στον εντοπισμό και την πρόληψη αυτών των επιθέσεων. Σκεφτείτε να χρησιμοποιήσετε ένα για πρόσθετη προστασία.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz