Le groupe cybercriminel FIN6, actif depuis plusieurs années, a récemment lancé une campagne d’ingénierie sociale particulièrement sophistiquée. Leur nouvelle méthode consiste à se faire passer pour des demandeurs d’emploi afin d’infecter les ordinateurs des recruteurs avec des malwares. Cette attaque cible spécifiquement les professionnels des ressources humaines, exploitant la confiance qu’implique tout processus de recrutement.
Méthode d’attaque: Comment les recruteurs sont-ils piégés?
Les attaquants contactent des recruteurs via des plateformes professionnelles telles que LinkedIn ou Indeed. Ils prétendent postuler à une offre d’emploi, puis envoient un lien vers un prétendu portfolio. Ce lien est généralement au format texte, afin d’éviter d’être détecté par les filtres automatiques anti-phishing. Le recruteur est incité à saisir manuellement l’URL dans son navigateur, ce qui contourne les protections habituelles.
Des faux sites hébergés sur AWS
Les faux sites utilisés dans cette campagne sont hébergés sur Amazon Web Services (AWS), une infrastructure réputée, ce qui les rend moins suspects aux yeux des utilisateurs. Ces domaines, comme emersonkelly.com ou bobbyweisman.com, simulent des portfolios professionnels avec une apparence crédible. Lors de la visite du site, un faux CAPTCHA est affiché, prétendant vérifier que l’utilisateur est bien humain.
Un fichier ZIP contenant un piège
Après avoir passé ce CAPTCHA frauduleux, l’utilisateur est invité à télécharger un fichier ZIP. Ce fichier ne contient pas de document classique mais un raccourci Windows (.LNK) camouflé. En l’exécutant, l’utilisateur déclenche à son insu un script PowerShell qui installe un malware sur la machine, en l’occurrence une version du cheval de Troie More_eggs.
Le rôle du malware More_eggs: Que permet-il de faire?
Le malware More_eggs est connu pour ses capacités d’infiltration discrète. Une fois installé, il permet à l’attaquant d’exécuter des commandes à distance, de télécharger d’autres malwares, de collecter des informations et d’exfiltrer des données sensibles. Il agit comme une porte dérobée silencieuse, rendant la détection difficile pour les antivirus traditionnels.
Une menace persistante
Le cheval de Troie est conçu pour rester actif sur la machine infectée sur le long terme. Il peut ainsi surveiller les activités de l’utilisateur, intercepter des communications ou encore dérober des identifiants. Cette persistance fait de More_eggs un outil privilégié pour les attaques ciblées sur des réseaux d’entreprise.
Pourquoi viser les recruteurs: Quel est l’intérêt stratégique?
Les recruteurs ont souvent accès à des documents internes sensibles, à des informations personnelles sur les candidats et à des systèmes RH connectés à d’autres départements. En compromettant un poste RH, les cybercriminels obtiennent un point d’entrée idéal dans l’environnement informatique de l’entreprise, avec un faible niveau de suspicion initial.
Une ingénierie sociale de plus en plus ciblée
Ce type d’attaque n’est pas basé sur des failles techniques, mais sur des comportements humains. Les pirates s’appuient sur la confiance inhérente aux échanges professionnels, ce qui rend leur approche difficile à détecter sans formation adéquate. Le fait de cibler des individus spécifiques avec des messages personnalisés accroît considérablement le taux de réussite de l’attaque.
Comment se protéger: Quelles sont les bonnes pratiques?
Pour contrer ce type de menace, plusieurs actions peuvent être mises en œuvre:
- Former les équipes RH à la reconnaissance des tentatives de phishing et d’ingénierie sociale.
- Ne jamais télécharger ou exécuter de fichiers provenant de sources non vérifiées.
- Configurer les systèmes de sécurité pour bloquer les fichiers .LNK en provenance d’archives ZIP.
- Analyser régulièrement les comportements réseau à la recherche d’activités anormales.
- Mettre à jour les logiciels de protection avec des règles spécifiques contre More_eggs.
Le rôle d’AWS dans cette campagne
Bien qu’Amazon Web Services ne soit pas directement responsable, son infrastructure est utilisée comme relais par les cybercriminels. AWS affirme intervenir rapidement pour supprimer les domaines signalés comme malveillants. Cependant, la vitesse à laquelle ces sites apparaissent et disparaissent complique la tâche des équipes de sécurité.
Conclusion: Une vigilance indispensable dans le recrutement
Cette campagne montre à quel point le processus de recrutement peut devenir une faille exploitable pour les cybercriminels. En détournant la confiance accordée aux candidats, FIN6 parvient à infiltrer des organisations entières. Il est donc crucial d’intégrer la cybersécurité dans toutes les étapes des échanges professionnels, y compris dans les ressources humaines.