Ce n'est pas gros comme une maison, mais terriblement efficace : les cybercriminels piègent leurs victimes en répondant aux offres d'emploi

Touche CV (curriculum vitae) © nialowwa / Shutterstock

Touche CV (curriculum vitae) © nialowwa / Shutterstock

Pour piéger les entreprises ciblées, les cybercriminels envoient des CV piégés, en prétextant répondre à une banale offre d’emploi.

Dans le vaste cyberespace, la menace est partout, plurielle et surtout particulièrement pernicieuse, pour celle ou celui qui en est victime. La dernière recherche de Proofpoint révèle que le groupe de hackers TA4557 se dissimule derrière de faux candidats à l’embauche. En envoyant des CV infectés aux recruteurs, contenant des liens malveillants, ils installent une porte dérobée sur l’ordinateur des victimes, pour vendre ensuite l’accès au réseau.

Les recruteurs piégés par des CV infectés

La technique d’attaque de TA4557 est simple mais efficace : en se faisant passer pour des candidats légitimes, les cybercriminels envoient des CV infectés avec des liens malveillants aux recruteurs. En cliquant sur l’URL malveillante, les entreprises installent la porte dérobée More_Eggs, une boucle qui prolonge son temps d’exécution et qui améliore les capacités d’évasion dans un environnement sandbox. La backdoor échappe ainsi aux analyses de sécurité, et les malfrats peuvent vendre l’accès vers le réseau de l’entreprise, à d’autres hackers.

Les chercheurs de Proofpoint notent que TA4557 innove en demandant aux destinataires de se référer au nom de domaine de leur adresse électronique pour accéder au CV. Une tentative astucieuse d’éviter la détection automatique des domaines suspects, soit dit en passant.

Si les tactiques d’ingénierie sociale avancées de TA4557 ont surtout été observées ces dernières semaines, les activités du groupe remontent à 2018, avec des similitudes à celles d’un autre groupe criminel, FIN6.

CV cybercriminel © Proofpoint

Courriel censé provenir d’un candidat et invitant le destinataire à visiter le domaine indiqué dans l’adresse électronique © Proofpoint

Des activités cybercriminelles en réalité sophistiquées

La nouvelle approche de TA4557 consiste à contacter directement les recruteurs avec des courriers simples et courants, puis à envoyer des liens malveillants sous couvert de CV. La méthode, en place depuis octobre 2023, complète l’ancienne tactique qui consistait à postuler à des offres d’emploi publiées sur des sites d’emplois dédiés, pour commencer la chaîne d’attaque.

Proofpoint note la sophistication des activités de TA4557. Le groupe emploie des leurres liés à l’emploi ainsi que des mesures d’évasion très poussées pour échapper à la détection. L’infrastructure contrôlée par le groupe cybercriminel est également un élément distinctif, aux yeux des experts cyber.

Les conclusions de la recherche mettent en lumière la progression constante du gang TA4557, que ce soit par son utilisation initiale de tactiques similaires à FIN6 à son récent engagement direct avec les recruteurs. Proofpoint appelle à une vigilance accrue et à des mesures de sécurité renforcées pour contrer cette menace en constante évolution.