Ofre bliver bedt om at foretage et telefonopkald, der vil dirigere dem til et link til download af malware.
En ny callback-phishing-kampagne efterligner fremtrædende sikkerhedsfirmaer for at forsøge at narre potentielle ofre til at foretage et telefonopkald, der vil instruere dem i at downloade malware.
Forskere ved CrowdStrike Intelligence opdagede kampagnen, fordi CrowdStrike faktisk er et af de virksomheder, blandt andre sikkerhedsfirmaer, der bliver efterlignet, sagde de i en nylig blogindlæg.
Kampagnen anvender en typisk phishing-e-mail, der har til formål at narre et offer til at svare hurtigt - i dette tilfælde antyder det, at modtagerens virksomhed er blevet brudt, og insisterer på, at de ringer til et telefonnummer, der er inkluderet i beskeden, skrev forskere. Hvis en målrettet person ringer til nummeret, når de en person, der leder dem til et websted med ondsindet hensigt, sagde de.
"Historisk set forsøger tilbagekaldskampagneoperatører at overtale ofre til at installere kommerciel RAT-software for at få et indledende fodfæste på netværket," skrev forskere i indlægget.
Forskere sammenlignede kampagnen med en kampagne, der blev opdaget sidste år døbt BazarCall ved Troldmandsedderkop trusselsgruppe. Denne kampagne brugte en lignende taktik til at forsøge at anspore folk til at foretage et telefonopkald for at fravælge at forny en onlinetjeneste, som modtageren angiveligt bruger i øjeblikket, forklarede Sophos-forskere dengang.
Hvis folk foretog opkaldet, ville en venlig person på den anden side give dem en hjemmesideadresse, hvor det snarest mulige offer angiveligt kunne afmelde tjenesten. Den hjemmeside førte dem dog til en ondsindet download.
CrowdStrike identificerede også en kampagne i marts i år, hvor trusselsaktører brugte en callback-phishing-kampagne til at installere AteraRMM efterfulgt af Cobalt Strike for at hjælpe med sideværts bevægelse og implementere yderligere malware, sagde CrowdStrike-forskere.
Efterligner en betroet partner
Forskere specificerede ikke, hvilke andre sikkerhedsfirmaer der blev efterlignet i kampagnen, som de identificerede den 8. juli, sagde de. I deres blogindlæg inkluderede de et skærmbillede af den e-mail, der blev sendt til modtagere, der efterlignede CrowdStrike, hvilket virker legitimt ved at bruge virksomhedens logo.
Specifikt informerer e-mailen målet om, at det kommer fra deres virksomheds "leverandør af outsourcede datasikkerhedstjenester", og at "unormal aktivitet" er blevet opdaget på "segmentet af netværket, som din arbejdsstation er en del af."
Meddelelsen hævder, at ofrets it-afdeling allerede er blevet underrettet, men at deres deltagelse er påkrævet for at udføre en audit på deres individuelle arbejdsstation, ifølge CrowdStrike. E-mailen instruerer modtageren om at ringe til et angivet nummer, så dette kan gøres, hvilket er når den ondsindede aktivitet opstår.
Selvom forskere ikke var i stand til at identificere den malware-variant, der blev brugt i kampagnen, mener de med stor sandsynlighed, at den vil omfatte "fælles legitime fjernadministrationsværktøjer (RAT'er) til indledende adgang, off-the-shelf penetrationstestværktøjer til lateral bevægelse, og indsættelsen af ransomware eller dataafpresning,” skrev de.
Potentiale til at sprede ransomware
Forskere vurderede også med "moderat tillid", at tilbagekaldsoperatører i kampagnen "sandsynligvis vil bruge ransomware til at tjene penge på deres drift," sagde de, "da BazarCall-kampagner i 2021 i sidste ende ville føre til Conti ransomware," de sagde.
"Dette er den første identificerede tilbagekaldskampagne, der efterligner cybersikkerhedsenheder og har større potentiel succes i betragtning af den presserende karakter af cyberbrud," skrev forskere.
Yderligere understregede de, at CrowdStrike aldrig ville kontakte kunder på denne måde, og opfordrede enhver af deres kunder, der modtager sådanne e-mails, til at videresende phishing-e-mails til adressen csirt@crowdstrike.com.
Denne forsikring er nøglen, især i forbindelse med cyberkriminelle, der bliver så dygtige til social engineering taktikker, der virker helt legitime for intetanende mål for ondsindede kampagner, bemærkede en sikkerhedsekspert.
"En af de vigtigste facetter af effektiv træning i cybersikkerhedsbevidsthed er at uddanne brugere på forhånd om, hvordan de vil eller ikke vil blive kontaktet, og hvilke oplysninger eller handlinger de kan blive bedt om at tage," Chris Clements, vicepræsident for løsningsarkitektur hos cybersikkerhedsfirmaet Cerberus Sentinel, skrev i en mail til Threatpost. "Det er afgørende, at brugerne forstår, hvordan de kan blive kontaktet af legitime interne eller eksterne afdelinger, og dette går ud over blot cybersikkerhed."
Tilmeld dig nu til denne on-demand begivenhed: Slut dig til Threatpost og Intel Securitys Tom Garrison i en Threatpost-rundbordssamtale, der diskuterer innovation, der gør det muligt for interessenter at være på forkant med et dynamisk trusselslandskab. Lær også, hvad Intel Security lærte fra deres seneste undersøgelse i samarbejde med Ponemon Institue. SE HER.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- Web Security
- website sikkerhed
- zephyrnet
