Die FIN6 Phishing-Kampagne verbreitet Malware über gefälschte Lebensläufe und AWS-Hosting – besonders über Plattformen wie LinkedIn.
FIN6, auch bekannt als Skeleton Spider, hat sich von Point-of-Sale-Angriffen weiterentwickelt und startet nun gezielte Phishing-Kampagnen gegen Recruiter. Die Gruppe gibt sich auf Plattformen wie LinkedIn und Indeed als Bewerber aus und leitet Opfer zu gefälschten Lebenslauf-Webseiten weiter, die auf AWS gehostet sind. Diese Seiten nutzen CAPTCHA-Abfragen und Traffic-Filter, um der Erkennung zu entgehen, und liefern ZIP-Dateien mit getarnten .LNK-Verknüpfungen, die den more_eggs-Backdoor installieren. Dieses Malware-as-a-Service-Tool ermöglicht Credential Theft, Systemzugriff und Folgekampagnen wie Ransomware. Domains wie bobbyweisman[.]com und emersonkelly[.]com zeigen, wie cloudbasierte Infrastruktur mit Verhaltensprüfungen kombiniert wird, um nur echte Nutzer mit Payloads zu versorgen.
Analyse unserer Experten:
Diese FIN6-Kampagne zeigt, wie klassische Phishing-Methoden mit moderner Cloud-Infrastruktur und raffinierter Social Engineering neue Schlagkraft entfalten. Die missbräuchliche Nutzung von AWS und LinkedIn erschwert die Abwehr, aber weist auch klar auf mögliche Verteidigungsmaßnahmen hin: Identitätsprüfung, verhaltensbasierte Traffic-Analyse und gezieltes Security-Training für Recruiter. Der Einsatz von CAPTCHAs, Fingerprinting und CV-Täuschungen unterstreicht, wie kreativ Angreifer selbst mit einfachen Mitteln agieren. Positiv: Jede eingesetzte Technik hinterlässt Spuren – Persistenzschlüssel, Cloud-Domains, PowerShell-Missbrauch. Durch eine enge Zusammenarbeit zwischen HR und IT-Security können Unternehmen diese Spuren effektiv nutzen.
Zum vollständigen Artikel.
