求职者请注意——网络犯罪分子找到了一种新的恶劣方式来向企业网络植入恶意代码。研究人员发现了一场狡猾的网络钓鱼活动，通过将强大的“More_eggs”后门伪装成投递空缺职位简历的方式进行传播。

是的，威胁行为者正在利用招聘过程中最常规的环节来发起毁灭性的网络攻击。根据调查，恶意行为者在LinkedIn上回应招聘信息，诱使招聘人员访问声称包含候选人简历的虚假网站。但试图下载“简历”却会启动恶意软件感染链。

网络安全公司eSentire在五月份发现了一次此类攻击，目标是某工业服务公司。该威胁行为者假冒求职者，诱骗招聘经理访问其恶意网站，在那里一个恶意的Windows快捷方式文件触发了“More_eggs”恶意软件的静默部署。

对于不熟悉的人来说，“More_eggs”是一个有害的模块化后门，能够收集敏感数据、投放额外载荷，并为威胁行为者提供完全的远程访问权限。它是由“Golden Chickens”等犯罪团伙运营的“恶意软件即服务”业务的一部分，为网络犯罪客户提供强大的工具。

这些行为者精通于使用社会工程学策略来提高感染率。先前的“More_eggs”活动也曾在LinkedIn上使用虚假的工作机会诱饵，诱骗专业人士下载该恶意软件。利用人们的职业抱负和获得理想工作的愿望——这是一种极其有效的心理策略。

感染途径更糟糕。恶意简历下载网站在一段时间后会被设计成显示无害的HTML代码，为不知情的受害者清除攻击痕迹。这种残酷手段旨在尽可能长时间地在目标网络内保持不被发现。

这次活动突显了为什么对所有员工（包括人力资源等非技术岗位）进行安全意识培训对于阻止网络钓鱼和社会工程学威胁至关重要。一次错误的点击就有可能危及整个组织。

招聘经理需要高度警惕审查求职者和所谓的简历，尤其是那些来自可疑网站或电子邮件联系人的信息。如果感觉不对劲，请停止并先对该简历文件进行妥善扫描再下载。公司安全政策和最佳实践必须规范招聘团队处理候选人材料的方式。

确保你的员工对这些狡猾手段保持警惕，可能就意味着安全地引进优秀新人才与在不知情中让恶意代码操作者加入你的公司之间的区别。给你的防御措施来一剂技能强化剂——立即加强你组织的安全意识培训，以消除简历主题的威胁。

KnowBe4帮助你的员工每天做出更明智的安全决策。全球超过65，000个组织信任KnowBe4平台来加强其安全文化并降低人为风险。

《黑客新闻》有完整报道。