СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
12.06.2025
#ИБ#Инфра#Облака

Хакеры распространяют вредоносное ПО через поддельные резюме и фальшивые профили соискателей на LinkedIn

Хакеры распространяют вредоносное ПО через поддельные резюме и фальшивые профили соискателей на LinkedIn

Изображение: Souvik Banerjee (unsplash)

Исследователи компании DomainTools сообщили о новой кампании группы FIN6, в рамках которой хакеры выдают себя за соискателей работы, чтобы внедрять вредоносное ПО через поддельные сайты резюме. Атаки ориентированы на сотрудников HR-отделов, рекрутеров и владельцев компаний, с которыми устанавливается контакт через LinkedIn.

По данным экспертов, злоумышленники создают вымышленные профили, оформленные как реальные страницы кандидатов. Для маскировки своей деятельности они регистрируют домены анонимно через GoDaddy и размещают сайты на мощностях Amazon Web Services. Такой подход помогает избежать быстрой блокировки и прохождения фильтров безопасности.

После знакомства через LinkedIn хакеры переводят общение на e-mail и отправляют ссылку на поддельный сайт с якобы профессиональным резюме. Ресурс определяет параметры устройства посетителя и фильтрует контент. Если система засечёт VPN, облачную инфраструктуру или операционные системы macOS и Linux, откроется безвредная страница. В случае выявления потенциальной жертвы на Windows, пользователь сначала проходит фальшивую CAPTCHA, а затем получает архив .ZIP.

Файл в архиве содержит замаскированный ярлык Windows (LNK), запускающий скрипт, загружающий вредоносный модуль «More Eggs». Это многофункциональный бэкдор, способный выполнять удалённые команды, внедрять дополнительное ПО, извлекать учётные данные и запускать PowerShell-команды на заражённом устройстве. Вся операция базируется на социальной инженерии и задействует сложные механизмы обхода защитных систем.

Представители Amazon Web Services подтвердили, что такие кампании нарушают условия использования платформы. Представитель компании сообщил, что AWS оперативно реагирует на обращения, проверяет подозрительный контент и удаляет ресурсы, задействованные в нарушении. В компании подчеркнули важность взаимодействия с экспертами в сфере кибербезопасности и призвали направлять сообщения о злоупотреблениях через специальную процедуру, действующую в рамках AWS Trust & Safety.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: