Il gruppo di cybercriminali noto come FIN6 è tornato alla ribalta con una campagna di phishing particolarmente sofisticata, sfruttando curriculum vitae falsi ospitati su infrastrutture cloud di Amazon Web Services (AWS) per diffondere il malware More_eggs. Questa strategia si basa su tecniche di social engineering, in cui i criminali si spacciano per candidati in cerca di lavoro su piattaforme professionali come LinkedIn e Indeed. Dopo aver instaurato un dialogo credibile con i recruiter, i malintenzionati inviano un link che apparentemente rimanda a un portfolio personale o a un curriculum, ma in realtà conduce a un sito malevolo.

I domini utilizzati da FIN6 vengono registrati in modo anonimo tramite servizi come GoDaddy, rendendo difficile sia attribuire l’attacco sia procedere rapidamente con la rimozione dei siti dannosi. Un ulteriore livello di complessità viene raggiunto grazie all’uso delle funzionalità di privacy offerte dai registrar, che nascondono le reali informazioni dei proprietari dei domini.

Il vero punto di forza della campagna risiede nell’uso di servizi cloud affidabili, come AWS EC2 o S3, per ospitare i siti di phishing. Questi siti sono dotati di filtri che permettono di consegnare il file malevolo solo a utenti che sembrano potenziali vittime, valutando il tipo di browser e indirizzo IP. In particolare, vengono privilegiati utenti con IP residenziali e browser Windows comuni, mentre chi si collega tramite VPN, servizi cloud o scanner di sicurezza riceve una versione innocua del documento.

Il file scaricato, solitamente un archivio ZIP, attiva la catena di infezione che porta all’installazione del malware More_eggs. Questo software malevolo, sviluppato dalla cyber gang Golden Chickens, consente il furto di credenziali, l’accesso al sistema della vittima e l’eventuale esecuzione di ulteriori attacchi, come il ransomware.

FIN6 è un gruppo noto dal 2012 per aver preso di mira sistemi POS nel settore retail e hospitality, con l’obiettivo di rubare dati delle carte di pagamento. Negli anni il gruppo ha adottato tecniche sempre più evolute, compresi skimmer Magecart e attacchi contro piattaforme di e-commerce. Le informazioni rubate vengono poi monetizzate attraverso la vendita su marketplace del dark web.

Questa nuova campagna dimostra come la combinazione di phishing tradizionale, servizi cloud e tecniche di evasione avanzate permetta ai criminali di aggirare molti strumenti di rilevamento, evidenziando l’importanza di strategie di difesa multilivello per le aziende.