10 月 8 日消息，安全公司 trendmicro 本周發(fā)布報(bào)告稱有黑客組織 FIN6 專門(mén)針對(duì)招聘銷售工程師的公司發(fā)動(dòng)攻擊，相關(guān)黑客將附帶有惡意木馬 More_eggs 運(yùn)行文件的鏈接打包入簡(jiǎn)歷郵件中，只要 HR 點(diǎn)擊郵件里的鏈接下載打開(kāi)文件便會(huì)中招。

據(jù)悉，這些黑客使用的簡(jiǎn)歷通常以“John Cboins”署名，相關(guān)郵件中沒(méi)有包含附件，但一旦 HR 點(diǎn)擊郵件中的鏈接便會(huì)跳轉(zhuǎn)到一個(gè)虛假的招聘平臺(tái)，特別的是，下載黑客所謂“作品集”需要通過(guò) Captcha 驗(yàn)證，研究人員推測(cè)這可能是為了贏得 HR 的信任。

▲ 圖源 trendmicro

從報(bào)告中獲悉，黑客提供的作品集中主要包含 John Cboins.lnk 和 6.jpeg，其中“John Cboins.lnk”便是木馬，一旦 HR 運(yùn)行這一文件，木馬便會(huì)在 Windows 系統(tǒng)文件夾之外生成 ieuinit.inf 文件，其中包含設(shè)備機(jī)器碼等信息，同時(shí)還會(huì)通過(guò) regsvr32.exe 加載惡意動(dòng)態(tài)文件 38804.dll，進(jìn)而自動(dòng)部署 More_eggs 木馬，便于黑客遠(yuǎn)程運(yùn)行惡意代碼。