En un giro bastante creativo dentro del mundo de los ciberataques, el grupo de hackers conocido como FIN6 ha empezado a hacerse pasar por personas que buscan empleo. Su objetivo: engañar a los reclutadores y colarles malware usando currículums bien elaborados y sitios web falsos que parecen legítimos.
FIN6, también llamado “Skeleton Spider”, empezó siendo famoso por robar datos de tarjetas de crédito hackeando sistemas de punto de venta (los típicos que ves en tiendas). Pero no se quedaron ahí: en 2019 dieron el salto a algo más grande, uniéndose a grupos que lanzaban ransomware como Ryuk y Lockergoga.
Últimamente, este grupo ha estado usando campañas de ingeniería social para distribuir un malware llamado “More Eggs” (sí, como "más huevos"). Es una puerta trasera basada en JavaScript que les permite robar contraseñas, acceder a sistemas empresariales y, en muchos casos, lanzar ataques de ransomware.
¿Cómo funciona el ataque?
En lugar de hacerse pasar por reclutadores como ocurre en muchas estafas laborales, el grupo FIN6 le ha dado la vuelta a la jugada: ahora se hacen pasar por candidatos que buscan trabajo, y van directo tras los reclutadores.
Utilizan perfiles falsos con fotos y currículums muy convincentes, y suelen contactar a los responsables de contratación a través de plataformas como LinkedIn o Indeed. Al principio, todo parece normal: un mensaje amigable, una conversación casual… pero luego llega el verdadero objetivo.
Después de generar algo de confianza, envían correos que parecen muy bien hechos, con enlaces a supuestos sitios donde está su portafolio o currículum. La trampa está en que esos enlaces no se pueden hacer clic directamente (tienes que copiarlos y pegarlos en el navegador). ¿Por qué? Porque así evitan los filtros de seguridad automáticos que muchas empresas usan para detectar amenazas.
Correo electrónico enviado a los destinatarios (Fuente:DomainTools)
Los hackers de FIN6 están usando dominios registrados de forma anónima, normalmente a través de GoDaddy, alojándolos en AWS, una plataforma en la nube ampliamente utilizada y de confianza que puede ser explotada por los actores maliciosos para evadir algunas herramientas de seguridad.
Ante esta situación, AWS ha respondido con la siguiente declaración oficial, atribuible a un portavoz de la compañía:
“AWS tiene términos claros que requieren que nuestros clientes utilicen nuestros servicios de conformidad con las leyes aplicables. Cuando recibimos informes de posibles violaciones de nuestros términos, actuamos rápidamente para revisar y tomar medidas para inhabilitar el contenido prohibido. Valoramos la colaboración con la comunidad de investigación de seguridad y alentamos a los investigadores a informar sobre sospechas de abuso a AWS Trust & Safety a través de nuestro proceso de informe de abuso dedicado.”
Lo curioso es que estos dominios están personalizados con nombres de personas inventadas, como si realmente fueran candidatos reales. Aquí tienes algunos ejemplos de los sitios falsos que han usado:
-
bobbyweisman[.]com
-
emersonkelly[.]com
-
davidlesnick[.]com
-
kimberlykamara[.]com
-
annalanyi[.]com
-
bobbybradley[.]red
-
malenebutler[.]com
-
lorinash[.]com
-
alanpower[.]red
-
edwarddhall[.]com
Pero eso no es todo: estos sitios están diseñados para parecer legítimos, y además incluyen técnicas avanzadas para asegurarse de que solo los "objetivos correctos" puedan acceder.
Por ejemplo, si alguien intenta entrar desde una VPN, desde la nube o usando Linux o macOS, simplemente se le muestra una página inocente que no parece tener nada raro. Es una forma de evitar que los investigadores de seguridad o los filtros automatizados descubran el engaño.
En cambio, si el visitante pasa el filtro, se encuentra con un CAPTCHA falso. Después de eso, se le ofrece descargar un archivo ZIP que supuestamente contiene un currículum… pero en realidad es una trampa. Dentro hay un archivo LNK (un acceso directo de Windows camuflado) que, al abrirse, ejecuta un script y descarga el malware “More Eggs”, una puerta trasera muy potente que permite a los atacantes tomar el control del sistema.
CAPTCHA en la página
Podría interesarte leer: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
¿Qué es “More Eggs” y por qué los reclutadores deben tener cuidado?
“More Eggs” (sí, ese es su nombre) es un malware bastante sofisticado creado por un grupo conocido como Venom Spider. Básicamente, se trata de una puerta trasera que los atacantes pueden usar para hacer casi de todo: ejecutar comandos, robar contraseñas, instalar otros programas maliciosos e incluso correr scripts de PowerShell para tomar el control del sistema.
Lo que hace que este ataque de FIN6 sea tan peligroso no es su complejidad técnica, sino lo bien pensado que está. Es una mezcla sencilla pero muy efectiva de ingeniería social e inteligencia para evadir sistemas de seguridad.
Por eso, si trabajas en recursos humanos o reclutamiento, es importante que seas especialmente cuidadoso cuando te pidan revisar portafolios o currículums en sitios externos. Si algo suena raro (como tener que copiar y pegar una dirección web o descargar un ZIP desde una página poco conocida) lo mejor es desconfiar.
Además, tanto empresas como agencias de contratación deberían verificar por su cuenta la identidad de los candidatos. Un simple mensaje o llamada a las referencias laborales o a las empresas donde dicen haber trabajado puede ayudar a confirmar si la persona realmente existe… o si es solo un personaje inventado por hackers.