Исследователи проекта DomainTools сообщили о новой схеме хакерской атаки с помощью методов социальной инженерии. Он все активнее используется хакерской группировкой FIN6 и представляет собой неожиданный «перевертыш» уже широко известной схемы. Ранее многие хакеры выдавали себя за представителей солидных рекрутинговых агентств и обращались со щедрыми предложениями к сотрудникам крупных компаний (прежде всего, к IT-специалистам) с конечной целью скомпрометировать их служебные учетные записи и получить доступ к системам работодателей.

Новая тактика FIN6 является ровно обратной. Киберпреступники обращаются в крупные рекрутинговые агентства (а иногда и напрямую в HR-службы крупных компаний), выдавая себя за соискателей работы. Предварительный контакт устанавливается в деловой социальной сети LinkedIn или не ведущем сайте поиска работы Indeed, после чего хакеры направляю на электронную почту потенциальной жертвы письмо с описанием своей квалификации и ссылкой на личный сайт, на котором якобы размещено подробное резюме и описаны все достижения соискателя. При этом ссылка не является активной, чтобы избежать проверки защитными решениями почтовых систем.

Защищены от постороннего любопытства и сами мошеннические сайты. Они в принципе не открываются при попытке входа с устройств под управлением операционных систем Linux и macOS. Кроме того, они проверяют цифровые отпечатки устройств посетителя: таким образом, вход оказывается доступен лишь для получателей мошеннических писем. Сами сайты сделаны весьма профессионально, однако обещанное резюме и перечень достижений предлагается загрузить в виде ZIP-архива.

Дальнейшее развитие событий достаточно понятно. Архив содержит файл, устанавливающий на устройства жертв бэкдор More Eggs. Это модульный зловред, способный похищать данные, осуществлять удаленное исполнение команд и загружать дополнительное вредоносное ПО. Сотрудникам кадровых служб и рекрутинговых агентств рекомендуется быть максимально бдительными.