تم توجيه الضحايا إلى إجراء مكالمة هاتفية لتوجيههم إلى رابط لتنزيل البرامج الضارة.
حملة تصيد احتيالي جديدة لرد الاتصال تنتحل شخصية شركات أمنية بارزة في محاولة لخداع الضحايا المحتملين لإجراء مكالمة هاتفية ترشدهم إلى تنزيل برامج ضارة.
اكتشف الباحثون في CrowdStrike Intelligence الحملة لأن CrowdStrike هي في الواقع واحدة من الشركات ، من بين شركات أمنية أخرى ، يتم انتحال صفتها ، كما قالوا في الآونة الأخيرة بلوق وظيفة.
كتب الباحثون أن الحملة تستخدم بريدًا إلكترونيًا تصيدًا نموذجيًا يهدف إلى خداع الضحية للرد بشكل عاجل - في هذه الحالة ، مما يشير إلى أن شركة المستلم قد تم اختراقها ويصر على الاتصال برقم هاتف مدرج في الرسالة. إذا اتصل شخص ما بالرقم ، فإنه يصل إلى شخص يوجهه إلى موقع ويب بقصد ضار ، على حد قولهم.
كتب الباحثون في المنشور: "تاريخيًا ، يحاول مشغلو حملات إعادة الاتصال إقناع الضحايا بتثبيت برنامج RAT تجاري لكسب موطئ قدم أولي على الشبكة".
وشبه الباحثون الحملة بحملة تم اكتشافها العام الماضي أطلق عليها اسم بازار عن طريق ساحر العنكبوت مجموعة التهديد. أوضح باحثو سوفوس في ذلك الوقت أن تلك الحملة استخدمت تكتيكًا مشابهًا لمحاولة حث الناس على إجراء مكالمة هاتفية لإلغاء الاشتراك في تجديد خدمة عبر الإنترنت يُزعم أن المستلم يستخدمها حاليًا.
إذا أجرى الأشخاص المكالمة ، فسيقوم شخص ودود على الجانب الآخر بمنحهم عنوان موقع ويب حيث من المفترض أن الضحية التي ستصبح ضحية يمكن أن تلغي اشتراكها في الخدمة. ومع ذلك ، قادهم هذا الموقع بدلاً من ذلك إلى تنزيل ضار.
قال باحثو CrowdStrike إن CrowdStrike حددت أيضًا حملة في مارس من هذا العام استخدم فيها المهاجمون حملة تصيد احتيالي لتثبيت AteraRMM متبوعًا بـ Cobalt Strike للمساعدة في الحركة الجانبية ونشر برامج ضارة إضافية.
انتحال صفة شريك موثوق به
وقالوا إن الباحثين لم يحددوا ما هي الشركات الأمنية الأخرى التي انتحلت هوياتها في الحملة التي حددوها في 8 يوليو / تموز. في منشور المدونة الخاص بهم ، قاموا بتضمين لقطة شاشة للبريد الإلكتروني المرسل إلى المستلمين الذين ينتحلون صفة CrowdStrike ، والتي تبدو شرعية باستخدام شعار الشركة.
على وجه التحديد ، يُعلم البريد الإلكتروني الهدف بأنه يأتي من "مورد خدمات أمان البيانات الخارجية" لشركتهم ، وأنه تم اكتشاف "نشاط غير طبيعي" على "جزء الشبكة الذي تعد محطة العمل الخاصة بك جزءًا منه."
تدعي الرسالة أن قسم تكنولوجيا المعلومات للضحية قد تم إخطاره بالفعل ولكن مشاركتهم مطلوبة لإجراء تدقيق على محطة العمل الفردية الخاصة بهم ، وفقًا لـ CrowdStrike. يوجه البريد الإلكتروني المستلم للاتصال بالرقم المقدم حتى يمكن القيام بذلك ، وهو وقت حدوث النشاط الضار.
على الرغم من أن الباحثين لم يتمكنوا من تحديد متغير البرامج الضارة المستخدمة في الحملة ، إلا أنهم يعتقدون بوجود احتمالية كبيرة أنها ستتضمن "أدوات إدارة عن بعد مشروعة شائعة (RATs) للوصول الأولي ، وأدوات اختبار الاختراق الجاهزة للحركة الجانبية ، ونشر برامج الفدية أو ابتزاز البيانات ".
احتمالية انتشار فيروسات الفدية
كما قام الباحثون بتقييم "بثقة معتدلة" أن مشغلي رد الاتصال في الحملة "من المرجح أن يستخدموا برامج الفدية لتحقيق الدخل من عملياتهم" ، كما قالوا ، "لأن حملات 2021 BazarCall ستؤدي في النهاية إلى رانسومواري Contiقالوا.
كتب الباحثون: "هذه هي أول حملة رد اتصال تم تحديدها تنتحل شخصية كيانات الأمن السيبراني ولديها نجاح محتمل أكبر بالنظر إلى الطبيعة العاجلة للانتهاكات السيبرانية".
علاوة على ذلك ، شددوا على أن CrowdStrike لن يتصل أبدًا بالعملاء بهذه الطريقة ، وحثوا أي من عملائهم الذين يتلقون رسائل البريد الإلكتروني هذه على إعادة توجيه رسائل البريد الإلكتروني المخادعة إلى العنوان csirt@crowdstrike.com.
هذا التأكيد أساسي بشكل خاص مع مجرمي الإنترنت الذين أصبحوا بارعين جدًا في تكتيكات الهندسة الاجتماعية التي تبدو شرعية تمامًا لأهداف غير متوقعة للحملات الخبيثة ، كما أشار أحد المتخصصين في مجال الأمن.
كريس كليمنتس ، نائب رئيس هندسة الحلول في شركة الأمن السيبراني "أحد أهم جوانب التدريب الفعال للتوعية بالأمن السيبراني هو تثقيف المستخدمين مسبقًا حول كيفية الاتصال بهم أو عدم الاتصال بهم ، وما هي المعلومات أو الإجراءات التي قد يُطلب منهم اتخاذها" سيربيروس سنتينل، في رسالة بريد إلكتروني إلى Threatpost. "من الأهمية بمكان أن يفهم المستخدمون كيفية الاتصال بهم من قبل الإدارات الداخلية أو الخارجية الشرعية ، وهذا يتجاوز الأمن السيبراني فقط."
سجل الآن لهذا الحدث حسب الطلب: انضم إلى Threatpost و Tom Garrison من Intel Security في طاولة مستديرة Threatpost تناقش الابتكار لتمكين أصحاب المصلحة من البقاء في صدارة مشهد التهديد الديناميكي. تعرف أيضًا على ما تعلمته Intel Security من دراستهم الأخيرة بالشراكة مع Ponemon Institue. مشاهدة هنا.
