Die Opfer wurden angewiesen, einen Anruf zu tätigen, der sie zu einem Link zum Herunterladen von Malware weiterleitet.
Eine neue Callback-Phishing-Kampagne gibt sich als prominente Sicherheitsunternehmen aus, um potenzielle Opfer dazu zu bringen, einen Anruf zu tätigen, der sie anweist, Malware herunterzuladen.
Forscher von CrowdStrike Intelligence entdeckten die Kampagne, weil CrowdStrike tatsächlich eines der Unternehmen ist, das neben anderen Sicherheitsfirmen imitiert wird, sagten sie kürzlich Blog-Post.
Die Kampagne verwendet eine typische Phishing-E-Mail, die darauf abzielt, ein Opfer dazu zu bringen, mit Dringlichkeit zu antworten – in diesem Fall impliziert sie, dass das Unternehmen des Empfängers verletzt wurde, und besteht darauf, dass sie eine in der Nachricht enthaltene Telefonnummer anrufen, schrieben die Forscher. Wenn eine Person gezielt die Nummer anruft, erreicht sie jemanden, der sie mit böswilliger Absicht auf eine Website weiterleitet, sagten sie.
„In der Vergangenheit versuchen die Betreiber von Rückrufkampagnen, die Opfer davon zu überzeugen, kommerzielle RAT-Software zu installieren, um im Netzwerk Fuß zu fassen“, schreiben die Forscher in dem Beitrag.
Forscher verglichen die Kampagne mit einer im letzten Jahr entdeckten Synchronisation BasarAnruf von dem Zauberspinne Bedrohungsgruppe. Diese Kampagne verwendete eine ähnliche Taktik, um zu versuchen, die Leute dazu zu bringen, einen Anruf zu tätigen, um die Verlängerung eines Online-Dienstes abzulehnen, den der Empfänger angeblich gerade nutzt, erklärten Sophos-Forscher damals.
Wenn die Leute anriefen, würde ihnen eine freundliche Person auf der anderen Seite eine Website-Adresse geben, wo das baldige Opfer angeblich den Dienst abbestellen könnte. Diese Website führte sie jedoch stattdessen zu einem böswilligen Download.
CrowdStrike identifizierte auch eine Kampagne im März dieses Jahres, in der Bedrohungsakteure eine Callback-Phishing-Kampagne nutzten, um AteraRMM zu installieren, gefolgt von Cobalt Strike, um bei lateraler Bewegung zu helfen und zusätzliche Malware einzusetzen, sagten CrowdStrike-Forscher.
Sich als vertrauenswürdiger Partner ausgeben
Die Forscher gaben nicht an, welche anderen Sicherheitsunternehmen in der Kampagne imitiert wurden, die sie am 8. Juli identifizierten, sagten sie. In ihrem Blog-Beitrag fügten sie einen Screenshot der E-Mail ein, die an Empfänger gesendet wurde, die sich als CrowdStrike ausgaben, was durch die Verwendung des Firmenlogos legitim erscheint.
Insbesondere informiert die E-Mail das Ziel, dass sie vom „ausgelagerten Anbieter von Datensicherheitsdiensten“ ihres Unternehmens stammt und dass „anormale Aktivitäten“ in dem „Segment des Netzwerks, zu dem Ihre Workstation gehört“ festgestellt wurden.
Laut CrowdStrike behauptet die Nachricht, dass die IT-Abteilung des Opfers bereits benachrichtigt wurde, ihre Teilnahme jedoch erforderlich ist, um ein Audit auf ihrer individuellen Workstation durchzuführen. Die E-Mail weist den Empfänger an, eine bereitgestellte Nummer anzurufen, damit dies geschehen kann, was der Zeitpunkt ist, an dem die böswillige Aktivität stattfindet.
Obwohl die Forscher nicht in der Lage waren, die in der Kampagne verwendete Malware-Variante zu identifizieren, glauben sie mit hoher Wahrscheinlichkeit, dass sie „allgemeine legitime Fernverwaltungstools (RATs) für den anfänglichen Zugriff, handelsübliche Penetrationstest-Tools für laterale Bewegungen, und der Einsatz von Ransomware oder Datenerpressung“, schrieben sie.
Potenzial zur Verbreitung von Ransomware
Die Forscher schätzten auch mit „mäßigem Vertrauen“ ein, dass Callback-Betreiber in der Kampagne „wahrscheinlich Ransomware verwenden werden, um ihren Betrieb zu monetarisieren“, sagten sie, „wie die BazarCall-Kampagnen 2021 schließlich dazu führen würden Conti Ransomware," Sie sagten.
„Dies ist die erste identifizierte Rückrufkampagne, die sich als Cybersicherheitsunternehmen ausgibt, und hat angesichts der Dringlichkeit von Cyberverletzungen ein höheres Erfolgspotenzial“, schrieben die Forscher.
Darüber hinaus betonten sie, dass CrowdStrike niemals Kunden auf diese Weise kontaktieren würde, und forderten alle ihre Kunden, die solche E-Mails erhalten, dringend auf, Phishing-E-Mails an die Adresse csirt@crowdstrike.com weiterzuleiten.
Diese Gewissheit ist besonders wichtig, da Cyberkriminelle so geschickt in Social-Engineering-Taktiken werden, die ahnungslosen Zielen böswilliger Kampagnen als vollkommen legitim erscheinen, bemerkte ein Sicherheitsexperte.
„Eine der wichtigsten Facetten eines effektiven Sensibilisierungstrainings für Cybersicherheit besteht darin, die Benutzer im Voraus darüber aufzuklären, wie sie kontaktiert werden oder nicht und welche Informationen oder Maßnahmen sie möglicherweise ergreifen müssen“, Chris Clements, Vizepräsident für Lösungsarchitektur bei einem Unternehmen für Cybersicherheit Cerberus-Wächter, schrieb in einer E-Mail an Threatpost. „Es ist entscheidend, dass Benutzer verstehen, wie sie von legitimen internen oder externen Abteilungen kontaktiert werden können, und dies geht über die reine Cybersicherheit hinaus.“
Melden Sie sich jetzt für dieses On-Demand-Event an: Treffen Sie sich mit Tom Garrison von Threatpost und Intel Security zu einem runden Tisch zu Threatpost, um über Innovationen zu diskutieren, die es den Beteiligten ermöglichen, einer dynamischen Bedrohungslandschaft immer einen Schritt voraus zu sein. Erfahren Sie außerdem, was Intel Security aus seiner neuesten Studie in Zusammenarbeit mit dem Ponemon Institute gelernt hat. SCHAU HIER.
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Hacks
- Kaspersky
- Malware
- McAfee
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Websicherheit
- Website-Sicherheit
- Zephyrnet
