Útoky vždy začínají phishingovou zprávou s odkazem na podvodné pracovní nebo náborové weby, uvedl Check Point. Stránky podle něj napodobují renomované společnosti, jako jsou Boeing, Airbus, Rheinmetall nebo flydubai, a jsou vytvořeny pomocí stejné šablony, která se přizpůsobuje imitované značce. Domény obvykle obsahují slova jako "kariéra", používají zrychlující Cloudflare služby a skrývají skutečnou hostingovou infrastrukturu, sdělila bezpečnostní firma.
Každá oběť podle ní dostane unikátní přihlašovací údaje a teprve po jejich zadání je stažen nebezpečný soubor se škodlivým kódem, což útočníkům umožňuje sledovat uživatele a blokovat nežádoucí návštěvníky. Tento kontrolovaný přístup podle zástupců Check Pointu naznačuje opatrnost a zkušenost útočníků.
"Nástroje skupiny Nimbus Manticore se zaměřují na dvě hlavní oblasti. MiniJunk umožňuje útočníkům zůstat v infikovaném systému bez odhalení a MiniBrowse slouží ke krádežím citlivých informací. Oba nástroje jsou průběžně zdokonalovány," uvedl regionální ředitel Check Pointu Peter Kovalčík.
Současně s operacemi, které využívají MiniJunk, fungují podle Check Pointu i kampaně, které se zaměřují na podobné metody, ale méně technicky náročné. Cíl je ovšem stejný, tedy přimět oběti, aby poskytly přístup, a útočníci získali z napadených organizací citlivé informace, uvedla firma.
I v těchto případech se podle ní útočníci vydávají za personalisty, ale kontaktují oběti primárně přes LinkedIn nebo jiné profesní platformy. Po navázání kontaktu přesouvají konverzaci do e-mailu a zasílají zprávy, které oběti nasměrují na falešné náborové portály, dodala.
