FIN6 utiliza currículums falsos en AWS para distribuir el malware More_eggs a través de plataformas de empleo

Introducción

El grupo FIN6, conocido por su motivación financiera y sofisticación en operaciones cibercriminales, ha sido recientemente vinculado a una campaña de distribución del malware More_eggs mediante el uso de currículums falsos alojados en la infraestructura de Amazon Web Services (AWS). Esta táctica de ingeniería social implica la interacción directa con reclutadores a través de plataformas profesionales como LinkedIn e Indeed, facilitando así la entrega sigilosa de cargas maliciosas. Este artículo analiza en profundidad los aspectos técnicos y operativos de esta amenaza emergente, su impacto en el ecosistema empresarial y las mejores prácticas de mitigación recomendadas para profesionales de la ciberseguridad.

Contexto del Incidente

La actividad relacionada con FIN6 ha evolucionado significativamente desde sus primeras incursiones en el robo de datos de tarjetas de pago y ataques a puntos de venta (POS). En este caso, la amenaza se materializa en el sector de recursos humanos y reclutamiento. Los operadores de FIN6 han adoptado una aproximación personalizada, haciéndose pasar por candidatos legítimos y estableciendo contacto con responsables de selección de personal. Tras generar confianza, envían enlaces a supuestos currículums que, en realidad, son archivos maliciosos alojados en instancias de AWS S3.

Esta técnica aprovecha la reputación de los servicios cloud de AWS para eludir controles de seguridad convencionales y aumentar la tasa de éxito de la infección. Además, el uso de plataformas profesionales dificulta la detección por parte de los sistemas automatizados de filtrado de correo y mensajería, ya que el tráfico y las interacciones se consideran, a priori, legítimos.

Detalles Técnicos

El malware implicado en estas campañas es More_eggs, una amenaza modular y polimórfica orientada al robo de información y la implantación de accesos persistentes en sistemas comprometidos. Los archivos infectados suelen ser instaladores o documentos ofimáticos que, al ser ejecutados, descargan el payload principal desde AWS.

CVE y vectores de ataque:
– Aunque More_eggs no explota una CVE concreta en su vector inicial, puede aprovechar vulnerabilidades conocidas como CVE-2017-0199 (Word) para escalar privilegios o evadir controles.
– El vector de entrada primario es el spear phishing dirigido a través de plataformas profesionales.
– El payload se entrega mediante enlaces a archivos .docx, .pdf o instaladores .exe alojados en buckets S3 configurados como públicos o compartidos selectivamente.

TTP (MITRE ATT&CK):
– T1192 (Spearphishing via Service): Aprovechamiento de servicios legítimos para enviar mensajes de phishing.
– T1105 (Ingress Tool Transfer): Transferencia de herramientas y cargas vía servicios cloud.
– T1071 (Application Layer Protocol): Comunicación encubierta a través de protocolos habituales (HTTPS).
– T1059 (Command and Scripting Interpreter): Uso de scripts para la ejecución de payloads secundarios.

Indicadores de Compromiso (IoC):
– URLs de AWS S3 habitualmente con nombres relacionados con currículums o perfiles profesionales.
– Conexiones salientes a dominios C2 asociados a More_eggs.
– Hashes de archivos maliciosos actualizados periódicamente para evadir firmas.

Impacto y Riesgos

El impacto potencial de este ataque es elevado, especialmente en sectores donde el reclutamiento de talento es continuo y la interacción con candidatos externos es parte del flujo habitual de trabajo. Una vez desplegado, More_eggs puede:
– Facilitar la exfiltración de credenciales y datos sensibles.
– Proveer acceso inicial para otras familias de malware, como Cobalt Strike o frameworks de ransomware.
– Ser utilizado como punto de entrada para ataques laterales dentro de la infraestructura corporativa.

Según estimaciones recientes, hasta un 15% de las empresas con procesos activos de contratación han sido objetivo de campañas similares en lo que va de 2024. Las pérdidas económicas asociadas a compromisos exitosos de este tipo pueden superar los 250.000 euros por incidente, considerando costes de remediación, interrupción de negocio y posibles sanciones por incumplimiento de GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

– Formación continua a personal de RRHH y selección sobre amenazas de spear phishing y suplantación de identidad en plataformas profesionales.
– Implementación de políticas de Zero Trust en la descarga y apertura de archivos provenientes de fuentes externas.
– Configuración estricta de reglas de DLP (Data Loss Prevention) para controlar la exfiltración de datos.
– Monitorización de accesos y descargas desde buckets de AWS S3, así como revisión periódica de permisos y registros de acceso.
– Uso de soluciones EDR/XDR con capacidades de detección de comportamiento anómalo y ejecución de scripts sospechosos.
– Integración de listas de IoC actualizadas en SIEM y sistemas de filtrado de correo.

Opinión de Expertos

Analistas de amenazas del sector coinciden en que esta campaña representa una evolución significativa en las tácticas de ingeniería social empleadas por grupos como FIN6. “El aprovechamiento de infraestructuras cloud y la personalización dinámica de los ataques dificultan la detección y neutralización temprana”, señala un CISO de una multinacional tecnológica. Además, subrayan la importancia de la colaboración interdepartamental entre RRHH, IT y Seguridad para frenar este tipo de incidentes.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este ataque resalta la necesidad de incluir a los equipos de selección y recursos humanos en el perímetro de defensa. Los usuarios individuales, especialmente reclutadores y gestores de talento, deben mantenerse alerta ante cualquier solicitud de descarga de archivos desde fuentes no verificadas, aunque parezcan legítimas o provengan de plataformas reconocidas.

Conclusiones

La campaña de FIN6 con More_eggs a través de currículums falsos en AWS supone una amenaza real y sofisticada para el entorno empresarial actual. La combinación de ingeniería social avanzada, uso de infraestructuras cloud legítimas y un malware modular adaptable exige una respuesta proactiva y coordinada por parte de los profesionales de ciberseguridad. La vigilancia constante, la formación y la aplicación de controles técnicos robustos son elementos clave para mitigar el riesgo de incidentes similares en el futuro.

(Fuente: feeds.feedburner.com)