Se instruye a las víctimas para que hagan una llamada telefónica que las dirigirá a un enlace para descargar malware.
Una nueva campaña de phishing de devolución de llamada se hace pasar por destacadas empresas de seguridad para tratar de engañar a las posibles víctimas para que hagan una llamada telefónica que les indicará que descarguen malware.
Los investigadores de CrowdStrike Intelligence descubrieron la campaña porque CrowdStrike es en realidad una de las empresas, entre otras empresas de seguridad, que está siendo suplantada, dijeron en un reciente entrada de blog.
La campaña emplea un típico correo electrónico de phishing con el objetivo de engañar a la víctima para que responda con urgencia; en este caso, lo que implica que la empresa del destinatario ha sido violada e insiste en que llame a un número de teléfono incluido en el mensaje, escribieron los investigadores. Si una persona objetivo llama al número, se comunica con alguien que los dirige a un sitio web con intenciones maliciosas, dijeron.
“Históricamente, los operadores de campañas de devolución de llamada intentan persuadir a las víctimas para que instalen un software RAT comercial para obtener un punto de apoyo inicial en la red”, escribieron los investigadores en la publicación.
Los investigadores compararon la campaña con una descubierta el año pasado denominada BazarLlamar según el Araña hechicera grupo de amenazas Esa campaña usó una táctica similar para tratar de alentar a las personas a hacer una llamada telefónica para optar por no renovar un servicio en línea que el destinatario supuestamente está usando actualmente, explicaron los investigadores de Sophos en ese momento.
Si las personas hacían la llamada, una persona amigable del otro lado les daría una dirección de sitio web donde la futura víctima supuestamente podría darse de baja del servicio. Sin embargo, ese sitio web los condujo a una descarga maliciosa.
CrowdStrike también identificó una campaña en marzo de este año en la que los actores de amenazas utilizaron una campaña de phishing de devolución de llamada para instalar AteraRMM seguida de Cobalt Strike para ayudar con el movimiento lateral e implementar malware adicional, dijeron los investigadores de CrowdStrike.
Hacerse pasar por un socio de confianza
Los investigadores no especificaron qué otras empresas de seguridad estaban siendo suplantadas en la campaña, que identificaron el 8 de julio, dijeron. En su publicación de blog, incluyeron una captura de pantalla del correo electrónico enviado a los destinatarios haciéndose pasar por CrowdStrike, que parece legítimo al usar el logotipo de la empresa.
Específicamente, el correo electrónico informa al objetivo que proviene del "proveedor de servicios de seguridad de datos subcontratados" de su empresa y que se ha detectado "actividad anormal" en el "segmento de la red de la que forma parte su estación de trabajo".
El mensaje afirma que el departamento de TI de la víctima ya ha sido notificado pero que se requiere su participación para realizar una auditoría en su estación de trabajo individual, según CrowdStrike. El correo electrónico le indica al destinatario que llame a un número proporcionado para que pueda hacerlo, que es cuando ocurre la actividad maliciosa.
Aunque los investigadores no pudieron identificar la variante de malware que se usa en la campaña, creen que es muy probable que incluya "herramientas de administración remota (RAT) legítimas y comunes para el acceso inicial, herramientas de prueba de penetración listas para usar para el movimiento lateral, y el despliegue de ransomware o extorsión de datos”, escribieron.
Potencial para propagar ransomware
Los investigadores también evaluaron con "confianza moderada" que los operadores de devolución de llamada en la campaña "probablemente usarán ransomware para monetizar su operación", dijeron, "ya que las campañas de BazarCall 2021 eventualmente conducirían a ransomware," ellos dijeron.
“Esta es la primera campaña de devolución de llamada identificada que se hace pasar por entidades de seguridad cibernética y tiene un mayor éxito potencial dada la naturaleza urgente de las infracciones cibernéticas”, escribieron los investigadores.
Además, enfatizaron que CrowdStrike nunca contactaría a los clientes de esta manera e instaron a cualquiera de sus clientes que reciban dichos correos electrónicos a reenviar correos electrónicos de phishing a la dirección csirt@crowdstrike.com.
Esta garantía es clave, en particular, dado que los ciberdelincuentes se vuelven tan expertos en tácticas de ingeniería social que parecen perfectamente legítimas para los desprevenidos objetivos de campañas maliciosas, señaló un profesional de seguridad.
“Una de las facetas más importantes de la capacitación efectiva en concientización sobre seguridad cibernética es educar a los usuarios de antemano sobre cómo se contactarán o no, y qué información o acciones se les puede pedir que tomen”, Chris Clements, vicepresidente de arquitectura de soluciones en la empresa de seguridad cibernética. Centinela de Cerberus, escribió en un correo electrónico a Threatpost. “Es fundamental que los usuarios entiendan cómo pueden ser contactados por departamentos internos o externos legítimos, y esto va más allá de la ciberseguridad”.
Regístrese ahora para este evento a pedidoÚnase a Threatpost y Tom Garrison de Intel Security en una mesa redonda de Threatpost en la que se debatirá sobre la innovación que permite a las partes interesadas mantenerse a la vanguardia de un panorama dinámico de amenazas. Además, aprenda lo que Intel Security aprendió de su último estudio en asociación con Ponemon Institute. MIRA AQUÍ.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- hacks
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- Seguridad web
- seguridad del sitio web
- zephyrnet
