Accueil » , » Le groupe de hackers FIN6 s'intéresse aux RH via Linkedin et Indeed

Le groupe de hackers FIN6 s'intéresse aux RH via Linkedin et Indeed

Aucun commentaire
Groupe de hackers FIN6

Contexte et menace : FIN6 et le malware More_eggs

FIN6 est un groupe cybercriminel actif depuis 2012, connu pour ses attaques sur les systèmes de point de vente (PoS) et ses campagnes Magecart visant le vol de données bancaires. Il collabore avec "Golden Chickens" (aussi connu comme Venom Spider), fournisseur du malware More_eggs, un backdoor JavaScript multifonction.

Nouvelle technique : le CV comme cheval de Troie

La campagne ciblée utilise des emails de faux candidats via LinkedIn ou Indeed. Le message contient une URL non cliquable menant à un site hébergé sur AWS où se trouve un faux CV, téléchargeable après passage d’un CAPTCHA.

Infrastructure technique : AWS, filtrage et CAPTCHA

  • Hébergement sur AWS (EC2 ou S3)
  • Filtrage par système (Windows), navigateur et IP résidentielle
  • CAPTCHA affiché avant le téléchargement d’un fichier ZIP

Contenu du ZIP : exécution de la trappe

Le fichier ZIP contient un fichier .lnk qui lance un script PowerShell. Celui-ci installe le malware More_eggs, permettant un accès distant, vol d’identifiants et installation d’autres malwares (y compris ransomwares).

Pourquoi cette approche fonctionne

  • Apparence crédible pour les recruteurs
  • Pas de lien cliquable = contournement des protections anti-phishing
  • Usage d’infrastructures cloud légitimes (AWS)
  • Filtrage avancé empêchant la détection automatique

Historique de More_eggs

Depuis 2018, More_eggs a été utilisé dans des attaques Magecart et campagnes ciblées. En 2022 et 2024, il a servi à infecter des recruteurs via des CV piégés. FIN6 améliore continuellement ses méthodes.

Conséquences potentielles

  • Vol d’identifiants (emails, bancaires, administratifs)
  • Intrusions profondes, exfiltration de données
  • Déploiement de ransomwares
  • Compromission interne via mouvement latéral

Recommandations de sécurité

  1. Sensibiliser les recruteurs
  2. Filtrage des téléchargements ZIP
  3. Utiliser des sandbox pour analyser les fichiers reçus
  4. Appliquer l’authentification multi-facteurs
  5. Segmenter les réseaux
  6. Surveiller les comportements suspects (EDR/NDR)

Vision globale : une menace persistante

FIN6 représente une menace sophistiquée qui cible désormais les RH. L’usage d’infrastructures cloud, CAPTCHA, scripts PowerShell et techniques d’ingénierie sociale rend ces attaques difficiles à détecter. Une réponse globale est nécessaire.

En résumé

ÉlémentDétails
Qui ?FIN6 (Skeleton Spider), Golden Chickens (Venom Spider)
Quoi ?Malware More_eggs via faux CV piégé
Comment ?Email → lien AWS → CAPTCHA → ZIP infecté
Où ?Cloud AWS, domaines anonymisés (GoDaddy)
Effet ?Vol d’identifiants, ransoms, exfiltration de données
Solution ?Sensibilisation, outils EDR, segmentation, MFA

Cette campagne montre une nouvelle fois que les cybercriminels innovent. FIN6 ne vise plus seulement les systèmes de paiement, mais s’introduit par des portes inattendues : les ressources humaines. Une vigilance extrême est requise dans tous les services d’une organisation, pas uniquement l’informatique.

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags