Η καμπάνια ηλεκτρονικού ψαρέματος «Callback» υποδύεται εταιρείες ασφαλείας

Μια νέα εκστρατεία phishing με επανάκληση υποδύεται εξέχουσες εταιρείες ασφαλείας για να προσπαθήσουν να ξεγελάσουν τα πιθανά θύματα για να πραγματοποιήσουν μια τηλεφωνική κλήση που θα τους δώσει οδηγίες να κατεβάσουν κακόβουλο λογισμικό.

Ερευνητές της CrowdStrike Intelligence ανακάλυψαν την καμπάνια επειδή η CrowdStrike είναι στην πραγματικότητα μία από τις εταιρείες, μεταξύ άλλων εταιρειών ασφαλείας, που πλαστοπροσωπούνται, είπαν σε πρόσφατη ανάρτηση.

Η καμπάνια χρησιμοποιεί ένα τυπικό ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" (phishing) με στόχο να ξεγελάσει ένα θύμα ώστε να απαντήσει επειγόντως - σε αυτήν την περίπτωση, υπονοώντας ότι η εταιρεία του παραλήπτη έχει παραβιαστεί και επιμένοντας να καλέσει έναν αριθμό τηλεφώνου που περιλαμβάνεται στο μήνυμα, έγραψαν οι ερευνητές. Εάν ένα άτομο που στοχεύεται καλέσει τον αριθμό, προσεγγίζει κάποιον που το κατευθύνει σε έναν ιστότοπο με κακόβουλη πρόθεση, είπαν.

«Ιστορικά, οι χειριστές εκστρατειών επανάκλησης προσπαθούν να πείσουν τα θύματα να εγκαταστήσουν εμπορικό λογισμικό RAT για να αποκτήσουν μια αρχική βάση στο δίκτυο», έγραψαν οι ερευνητές στην ανάρτηση.

Οι ερευνητές παρομοίασαν την καμπάνια με μια που ανακαλύφθηκε πέρυσι μεταγλωττισμένη BazarCall από το Μάγος Αράχνη ομάδα απειλών. Αυτή η εκστρατεία χρησιμοποίησε μια παρόμοια τακτική για να προσπαθήσει να παρακινήσει τους ανθρώπους να κάνουν ένα τηλεφώνημα για να εξαιρεθούν από την ανανέωση μιας διαδικτυακής υπηρεσίας που φέρεται ότι χρησιμοποιεί αυτήν τη στιγμή ο παραλήπτης, εξήγησαν τότε οι ερευνητές του Sophos.

Εάν οι άνθρωποι πραγματοποιούσαν την κλήση, ένα φιλικό άτομο από την άλλη πλευρά θα τους έδινε μια διεύθυνση ιστότοπου όπου το μελλοντικό θύμα θα μπορούσε να διαγραφεί από την υπηρεσία. Ωστόσο, αυτός ο ιστότοπος τους οδήγησε σε κακόβουλη λήψη.

Το CrowdStrike εντόπισε επίσης μια καμπάνια τον Μάρτιο του τρέχοντος έτους, στην οποία οι παράγοντες απειλών χρησιμοποίησαν μια εκστρατεία phishing για επανάκληση για να εγκαταστήσουν το AteraRMM ακολουθούμενη από το Cobalt Strike για να βοηθήσουν στην πλευρική κίνηση και να αναπτύξουν πρόσθετο κακόβουλο λογισμικό, είπαν οι ερευνητές του CrowdStrike.

Μίμηση ενός αξιόπιστου συνεργάτη

Οι ερευνητές δεν διευκρίνισαν ποιες άλλες εταιρείες ασφαλείας πλαστοπροσωπούνταν στην εκστρατεία, την οποία προσδιόρισαν στις 8 Ιουλίου, είπαν. Στην ανάρτησή τους στο ιστολόγιό τους, συμπεριέλαβαν ένα στιγμιότυπο οθόνης του μηνύματος ηλεκτρονικού ταχυδρομείου που στάλθηκε σε παραλήπτες που μιμούνται το CrowdStrike, το οποίο φαίνεται νόμιμο χρησιμοποιώντας το λογότυπο της εταιρείας.

Συγκεκριμένα, το μήνυμα ηλεκτρονικού ταχυδρομείου ενημερώνει τον στόχο ότι προέρχεται από τον "εξωτερικό προμηθευτή υπηρεσιών ασφαλείας δεδομένων" της εταιρείας τους και ότι έχει εντοπιστεί "μη φυσιολογική δραστηριότητα" στο "τμήμα του δικτύου στο οποίο ανήκει ο σταθμός εργασίας σας".

Το μήνυμα υποστηρίζει ότι το τμήμα πληροφορικής του θύματος έχει ήδη ειδοποιηθεί, αλλά ότι η συμμετοχή του απαιτείται για να πραγματοποιηθεί έλεγχος στον ατομικό του σταθμό εργασίας, σύμφωνα με το CrowdStrike. Το μήνυμα ηλεκτρονικού ταχυδρομείου καθοδηγεί τον παραλήπτη να καλέσει έναν αριθμό που παρέχεται, ώστε να γίνει αυτό, όταν συμβαίνει η κακόβουλη δραστηριότητα.

Αν και οι ερευνητές δεν μπόρεσαν να αναγνωρίσουν την παραλλαγή κακόβουλου λογισμικού που χρησιμοποιήθηκε στην καμπάνια, πιστεύουν με μεγάλη πιθανότητα ότι θα περιλαμβάνει «κοινά νόμιμα εργαλεία απομακρυσμένης διαχείρισης (RAT) για αρχική πρόσβαση, εργαλεία δοκιμής διείσδυσης εκτός ραφιού για πλευρική κίνηση, και την ανάπτυξη ransomware ή εκβιασμού δεδομένων», έγραψαν.

Δυνατότητα διάδοσης Ransomware

Οι ερευνητές αξιολόγησαν επίσης με «μέτρια σιγουριά» ότι οι χειριστές επανάκλησης στην καμπάνια «πιθανότατα θα χρησιμοποιήσουν ransomware για τη δημιουργία εσόδων από τη λειτουργία τους», είπαν, «καθώς οι καμπάνιες BazarCall του 2021 θα οδηγούσαν τελικά σε Συνεχίστε το ransomware," αυτοι ειπαν.

«Αυτή είναι η πρώτη αναγνωρισμένη εκστρατεία επανάκλησης που υποδύεται οντότητες κυβερνοασφάλειας και έχει υψηλότερη πιθανή επιτυχία δεδομένης της επείγουσας φύσης των παραβιάσεων στον κυβερνοχώρο», έγραψαν οι ερευνητές.

Επιπλέον, τόνισαν ότι η CrowdStrike δεν θα επικοινωνούσε ποτέ με τους πελάτες με αυτόν τον τρόπο και προέτρεψαν οποιονδήποτε από τους πελάτες τους που λάμβαναν τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου να προωθήσει μηνύματα ηλεκτρονικού ψαρέματος στη διεύθυνση csirt@crowdstrike.com.

Αυτή η διαβεβαίωση είναι καίριας σημασίας, ιδιαίτερα όταν οι εγκληματίες του κυβερνοχώρου γίνονται τόσο έμπειροι στις τακτικές κοινωνικής μηχανικής που φαίνονται απολύτως νόμιμες σε ανυποψίαστους στόχους κακόβουλων εκστρατειών, σημείωσε ένας επαγγελματίας ασφάλειας.

«Μία από τις πιο σημαντικές πτυχές της αποτελεσματικής εκπαίδευσης ευαισθητοποίησης σχετικά με την ασφάλεια στον κυβερνοχώρο είναι η εκ των προτέρων εκπαίδευση των χρηστών σχετικά με το πώς θα επικοινωνήσουν ή δεν θα επικοινωνήσουν μαζί τους και ποιες πληροφορίες ή ενέργειες μπορεί να τους ζητηθεί να κάνουν», Chris Clements, αντιπρόεδρος αρχιτεκτονικής λύσεων στην εταιρεία κυβερνοασφάλειας Σέρμπερς Sentinel, έγραψε σε ένα email στο Threatpost. «Είναι κρίσιμο οι χρήστες να κατανοήσουν πώς μπορεί να έρθουν σε επαφή μαζί τους νόμιμα εσωτερικά ή εξωτερικά τμήματα, και αυτό υπερβαίνει την απλή ασφάλεια στον κυβερνοχώρο».

Εγγραφείτε τώρα για αυτήν την εκδήλωση κατ' απαίτηση: Γίνετε μέλος της Threatpost και του Tom Garrison της Intel Security σε μια στρογγυλή τράπεζα Threatpost που συζητά την καινοτομία που επιτρέπει στους ενδιαφερόμενους να παραμείνουν μπροστά σε ένα δυναμικό τοπίο απειλών. Επίσης, μάθετε τι έμαθε η Intel Security από την τελευταία της μελέτη σε συνεργασία με το Ponemon Institue. ΠΑΡΑΚΟΛΟΥΘΗΣΤΕ ΕΔΩ.