El grupo de cibercriminales FIN6, conocido por su motivación financiera, ha intensificado su actividad maliciosa utilizando currículos falsos alojados en la infraestructura de Amazon Web Services (AWS) para distribuir el malware More_eggs. Esta campaña de phishing se lleva a cabo mediante técnicas de ingeniería social en plataformas profesionales como LinkedIn e Indeed, donde los atacantes se hacen pasar por candidatos de empleo para engañar a reclutadores y personal de recursos humanos.
Ingeniería social y entrega de malware
Según un informe del equipo de DomainTools Investigations (DTI), los miembros de FIN6 se hacen pasar por solicitantes de empleo legítimos y contactan directamente a los reclutadores. Una vez establecida una relación de confianza, comparten enlaces que supuestamente contienen sus portafolios o currículos, pero que en realidad conducen a sitios maliciosos diseñados para distribuir malware.
El archivo malicioso, que se presenta como un currículo comprimido en formato ZIP, inicia la infección al abrirse, desplegando la puerta trasera More_eggs, un malware avanzado basado en JavaScript.
More_eggs: un malware versátil y persistente
Desarrollado por el grupo conocido como Golden Chickens o Venom Spider, More_eggs es una herramienta de acceso remoto (RAT) que permite a los atacantes robar credenciales, acceder al sistema infectado, y llevar a cabo acciones de seguimiento como la instalación de ransomware. La puerta trasera está diseñada para evadir la detección de herramientas de seguridad tradicionales, utilizando técnicas como la ejecución en memoria y la segmentación inteligente de objetivos.
Infraestructura en la nube y evasión avanzada
Uno de los aspectos más sofisticados de esta campaña es el uso de servicios en la nube confiables, como AWS EC2 y Amazon S3, para alojar los archivos maliciosos. Esto le permite al grupo FIN6 eludir los sistemas de detección que confían en la reputación del host.
Además, los sitios de phishing implementan filtros de tráfico que utilizan tecnología CAPTCHA y verificación de IP para segmentar a las víctimas. Solo los usuarios que acceden desde navegadores comunes en sistemas Windows y con direcciones IP residenciales reciben el archivo ZIP malicioso. En cambio, visitantes que provienen de VPNs, centros de datos en la nube o soluciones corporativas de seguridad reciben una versión inofensiva del documento.
Dominios falsos y anonimato
Los dominios utilizados en esta campaña, como
1 | bobbyweisman[.]com |
y
1 | ryanberardi[.]com |
, simulan portafolios profesionales para generar confianza. Estos dominios son registrados anónimamente a través de GoDaddy, aprovechando los servicios de privacidad de dominio del registrador para ocultar la identidad de los atacantes. Esta capa adicional de anonimato dificulta la atribución y ralentiza los esfuerzos de mitigación.
DomainTools destaca que, aunque GoDaddy es un registrador legítimo y ampliamente utilizado, sus herramientas de privacidad pueden ser explotadas por actores de amenazas como FIN6 para ocultar sus operaciones.
FIN6: trayectoria y tácticas
Activo desde al menos 2012, FIN6 —también conocido como Camouflage Tempest, Skeleton Spider, Gold Franklin, ITG08 y TA4557— es un grupo bien establecido en el cibercrimen financiero. Inicialmente se enfocó en comprometer sistemas de punto de venta (PoS) en sectores como hostelería y comercio minorista para robar datos de tarjetas de pago.
A lo largo de los años, ha diversificado sus tácticas y herramientas, incluyendo el uso de JavaScript skimmers al estilo Magecart para atacar sitios de comercio electrónico. Según Visa, More_eggs ha sido empleado por FIN6 como carga útil inicial desde al menos 2018, permitiéndoles infiltrarse en portales de pago de tiendas en línea e inyectar scripts maliciosos que roban datos sensibles.
Una vez recopilados, los datos de tarjetas son vendidos en mercados clandestinos como JokerStash, que funcionó hasta principios de 2021. Este modelo de monetización rápido y eficaz ha convertido a FIN6 en uno de los grupos más persistentes y rentables en el panorama del cibercrimen.
Respuesta de AWS y medidas de protección
Tras la publicación del informe, un portavoz de Amazon Web Services emitió una declaración reiterando su compromiso con la seguridad:
“AWS tiene términos claros que exigen que nuestros clientes utilicen nuestros servicios en conformidad con las leyes aplicables. Cuando recibimos informes de posibles violaciones, actuamos rápidamente para revisar y eliminar el contenido.”
AWS alienta a los investigadores a reportar cualquier sospecha de abuso mediante su canal de Trust & Safety.
Cómo protegerse ante estas campañas
Las empresas deben tomar medidas proactivas para protegerse frente a campañas como esta:
-
Capacitación continua a equipos de Recursos Humanos y reclutadores sobre ingeniería social y phishing.
-
Filtrado de correo y sandboxing para archivos adjuntos sospechosos o enlaces a portafolios.
-
Bloqueo de dominios sospechosos detectados en fuentes OSINT y servicios de threat intelligence.
-
Autenticación multifactor en todos los sistemas críticos.
-
Supervisión de actividad inusual en sistemas de contratación o recursos humanos.
La campaña actual de FIN6 con el malware More_eggs demuestra cómo los actores de amenazas siguen innovando en sus tácticas, aprovechando la confianza de plataformas legítimas y la ingeniería social para comprometer sistemas empresariales. Estar alerta, mantener políticas de ciberseguridad robustas y contar con estrategias de respuesta rápida son esenciales para mitigar estos riesgos en evolución.
Fuente: The Hacker News
