O grupo hacker FIN6, conhecido por campanhas sofisticadas com motivação financeira, foi flagrado utilizando currículos falsos hospedados na infraestrutura da Amazon Web Services (AWS) para disseminar o malware More_eggs. A campanha recente, apelidada de Skeleton Spider, foca em alvos corporativos e se aproveita de interações em plataformas como LinkedIn e Indeed para enganar recrutadores e aplicar golpes altamente direcionados.

Segundo relatório da equipe de investigações da DomainTools (DTI), os hackers se passam por candidatos a vagas de emprego, iniciando conversas com recrutadores até o momento em que enviam links maliciosos supostamente com seus portfólios. Esses links levam a domínios disfarçados, como "bobbyweisman[.]com" ou "ryanberardi[.]com", registrados anonimamente via GoDaddy, o que dificulta a atribuição e a remoção dos conteúdos. Esses sites, hospedados em serviços confiáveis como AWS EC2 e S3, empregam mecanismos de detecção de visitantes para garantir que apenas alvos legítimos — como usuários com IP residencial e navegador Windows — possam baixar o conteúdo malicioso.

O More_eggs, um backdoor em JavaScript desenvolvido pelo grupo hacker Golden Chickens (ou Venom Spider), permite acesso remoto a sistemas, roubo de credenciais e execução de malwares adicionais, incluindo ransomwares. FIN6, que atua desde 2012, já utilizava esse malware desde 2018 em ataques contra sites de e-commerce para injetar skimmers JavaScript em páginas de checkout e roubar dados de cartões de pagamento. Os dados capturados eram revendidos em mercados clandestinos como o JokerStash, encerrado em 2021.

A Secureworks observa que o uso do More_eggs como carga inicial reflete a capacidade contínua do FIN6 de inovar suas táticas. Ao aliar técnicas clássicas de engenharia social com serviços modernos de nuvem e verificação de tráfego avançada (como lógica de CAPTCHA e exclusão de IPs corporativos, VPNs e AWS), os hackers garantem maior taxa de sucesso nas infecções, dificultando a detecção por ferramentas tradicionais de segurança.

Em resposta às denúncias, a AWS declarou que seus termos proíbem o uso indevido de sua infraestrutura e que adota ações rápidas para remover conteúdos maliciosos, além de incentivar a colaboração com a comunidade de segurança para receber denúncias via o canal AWS Trust & Safety.

Via - THN