【安全圈】安全公司曝光黑客假借求职名义发送木马邮件，HR 打开就中招

主要观点总结

趋势安全公司发布报告，指出黑客组织FIN6利用恶意木马攻击招聘销售工程师的公司。黑客将带有恶意木马More_eggs运行文件的链接嵌入简历邮件中，一旦人力资源部门点击下载打开文件，便会遭受攻击。这些邮件通常以'John Cboins'署名，并通过虚假招聘平台和Captcha验证来诱导受害者下载木马文件。

关键观点总结

关键观点1: 黑客组织FIN6针对招聘销售工程师的公司发动攻击。

趋势安全公司本周发布的报告指出，黑客组织FIN6通过发送含有恶意软件的链接的电子邮件进行攻击。这些邮件伪装成求职简历，目的是欺骗人力资源部门点击恶意链接。

关键观点2: 恶意木马More_eggs的运行文件被嵌入邮件链接中。

黑客将带有恶意木马More_eggs运行文件的链接打包进简历邮件中。只要人力资源部门点击这些链接并下载文件，就会感染该木马，进而遭受攻击。

关键观点3: 虚假招聘平台和Captcha验证用于诱导受害者下载木马文件。

相关邮件中没有包含附件，但会引导受害者点击链接进入一个虚假的招聘平台。并且，下载黑客所谓的“作品集”需要通过Captcha验证，以获取HR的信任。

关键观点4: 攻击流程详述。

一旦人力资源部门运行“John Cboins.lnk”这一木马文件，它会在Windows系统文件夹之外生成ieuinit.inf文件，并通过regsvr32.exe加载恶意动态文件38804.dll。进而自动部署More_eggs木马，便于黑客远程运行恶意代码。

文章预览

关键词 木马 安全公司 trendmicro 本周发布报告称有黑客组织 FIN6 专门针对招聘销售工程师的公司发动攻击，相关黑客将附带有恶意木马 More_eggs 运行文件的链接打包入简历邮件中，只要 HR 点击邮件里的链接下载打开文件便会中招。 据悉，这些黑客使用的简历通常以 "John Cboins" 署名，相关邮件中没有包含附件，但一旦 HR 点击邮件中的链接便会跳转到一个虚假的招聘平台，特别的是，下载黑客所谓 " 作品集 " 需要通过 Captcha 验证，研究人员推测这可能是为了赢得 HR 的信任。 ▲ 图源 trendmicro 从报告中获悉，黑客提供的作品集中主要包含 John Cboins.lnk 和 6.jpeg，其中 "John Cboins.lnk" 便是木马，一旦 HR 运行这一文件，木马便会在 Windows 系统文件夹之外生成 ieuinit.inf 文件，其中包含设备机器码等信息，同时还会通过 regsvr32.exe 加载恶意动态文件 38804.dll，进而自 ………………………………