La campagne de phishing FIN6 utilise de faux CV hébergés sur AWS pour diffuser des malwares via LinkedIn et Indeed.
Le groupe FIN6, aussi connu sous le nom de Skeleton Spider, délaisse les systèmes de point de vente pour cibler les recruteurs avec des campagnes de phishing élaborées. Se faisant passer pour des candidats sur LinkedIn ou Indeed, ils envoient des liens vers de faux sites de CV hébergés sur AWS. Ces pages utilisent des CAPTCHA et des filtres de trafic pour éviter la détection, et diffusent des fichiers ZIP contenant des raccourcis .LNK camouflés qui déclenchent le backdoor more_eggs. Ce malware-as-a-service permet le vol d’identifiants, l’accès au système et des attaques secondaires comme le ransomware. Des domaines comme bobbyweisman[.]com illustrent l’utilisation d’une infrastructure cloud avec des contrôles comportementaux pour ne cibler que des victimes réelles.
Analyse de nos experts :
Cette campagne démontre qu’une attaque de phishing modeste peut devenir redoutable lorsqu’elle s’appuie sur une infrastructure moderne et un social engineering soigné. L’exploitation d’AWS ou LinkedIn illustre les lacunes des défenses traditionnelles, mais aussi les leviers à activer : validation d’identité, analyse comportementale du trafic et formation des recruteurs. L’utilisation de CAPTCHAs, de fingerprinting et de faux CV prouve que l’innovation malveillante repose souvent sur des outils simples. Bonne nouvelle : chaque tactique laisse des traces exploitables, clés de persistance, domaines cloud, scripts PowerShell. Une collaboration entre RH et cybersécurité transforme ces pièges en signaux de détection efficaces.
Lire l’article complet ici.
