Đóng giả người đi xin việc, hack luôn thiết bị nhà tuyển dụng
Hacker sử dụng CV chất lượng và website giả mạo để phát tán mã độc nhằm vào các nhà tuyển dụng, khác với kịch bản tấn công truyền thống.
Đây là thủ đoạn mà các thành viên của nhóm tin tặc FIN6 đang sử dụng. Thời gian đầu hoạt động, FIN6 nổi tiếng với các vụ gian lận tài chính, bao gồm xâm nhập hệ thống PoS để đánh cắp thông tin thẻ tín dụng. Tuy nhiên, đến năm 2019, chúng mở rộng sang tấn công mã độc tống tiền.
Gần đây, chúng sử dụng các chiến dịch tấn công phi kỹ thuật để phát tán mã độc More Eggs nhằm đánh cắp thông tin đăng nhập, truy cập hệ thống và triển khai ransomware.
Mẫu email xin việc chứa liên kết dẫn đến trang web lừa đảo. Ảnh: Domain Tools
Trong báo cáo mới nhất của DomainTools, các nhà nghiên cứu nêu chi tiết cách FIN6 “đảo ngược” quy trình gian lận tuyển dụng truyền thống bằng cách giả mạo người đi xin việc thay vì nhà tuyển dụng.
Với danh tính giả, chúng tiếp cận nhà tuyển dụng và phòng nhân sự thông qua các tin nhắn trên LinkedIn, Indeed, tạo dựng quan hệ rồi gửi email lừa đảo.
Những email này, được trình bày một cách chuyên nghiệp, chứa các liên kết (URL) dẫn đến trang web sơ yếu lí lịch, song chúng được thiết kế để không bấm vào được nhằm tránh công cụ phát hiện và ngăn chặn website độc hại. Do đó, người nhận phải nhập địa chỉ web thủ công lên trình duyệt.
Theo DomailTools, tên miền được đăng ký ẩn danh qua GoDaddy và lưu trữ trên dịch vụ đám mây Amazon Web Services (AWS). Chúng bao gồm: bobbyweisman[.]com, emersonkelly[.]com, davidlesnick[.]com, kimberlykamara[.]com, annalanyi[.]com, bobbybradley[.]net, malenebutler[.]com, lorinash[.]com, alanpower[.]net, edwarddhall[.]com.
FIN6 cũng áp dụng các kỹ thuật để chỉ có đối tượng mục tiêu mới có thể mở ra các trang web nói trên. Nạn nhân phải nhập mã CAPTCHA trước khi được hướng dẫn tải xuống tập tin ZIP chứa hồ sơ xin việc nhưng thực chất là tệp ngụy trang phím tắt Windows. Tệp sẽ thực thi script để tải về cửa hậu More Eggs.
Chiêu thức của FIN6 tuy đơn giản nhưng hiệu quả. Vì vậy, các nhà tuyển dụng và nhân viên hành chính nên cẩn trọng khi được mời xem hồ sơ ứng viên, đặc biệt nếu họ đề nghị mở website bên ngoài để tải xuống.
Ngoài ra, nên xác nhận danh tính của người đi xin việc thông qua người giới thiệu hoặc nhân sự tại những công ty mà họ liệt kê từng làm việc trước khi liên hệ sâu hơn.
(Theo Bleeping Computer)
