Uhreja kehotettiin soittamaan puhelu, joka ohjaa heidät linkille haittaohjelmien lataamista varten.
Uudessa takaisinsoittojen tietojenkalastelukampanjassa esiintyy tunnettuja tietoturvayrityksiä, jotka yrittävät huijata mahdolliset uhrit soittamaan puhelun, joka kehottaa heitä lataamaan haittaohjelmia.
CrowdStrike Intelligencen tutkijat löysivät kampanjan, koska CrowdStrike on itse asiassa yksi niistä yrityksistä, joita muiden turvayritysten joukossa esiintyy, he sanoivat äskettäisessä lehdessä. blogipostaus.
Kampanja käyttää tyypillistä phishing-sähköpostia, jonka tarkoituksena on huijata uhri vastaamaan kiireellisesti – tässä tapauksessa viitaten siihen, että vastaanottajan yritystä on loukattu ja vaatimalla, että he soittavat viestissä olevaan puhelinnumeroon, tutkijat kirjoittivat. He sanoivat, että jos kohdehenkilö soittaa numeroon, hän tavoittaa jonkun, joka ohjaa hänet verkkosivustolle.
"Historiallisesti takaisinsoittokampanjan operaattorit yrittävät taivutella uhrit asentamaan kaupallisia RAT-ohjelmistoja saadakseen ensimmäisen jalansijan verkossa", tutkijat kirjoittivat viestissä.
Tutkijat vertasivat kampanjaa viime vuonna löydettyyn kampanjaan BazarCall mukaan Wizard Spider uhkaryhmä. Kampanja käytti samanlaista taktiikkaa yrittääkseen kannustaa ihmisiä soittamaan puhelun kieltäytymään uusimasta verkkopalvelua, jota vastaanottaja tällä hetkellä käyttää, Sophosin tutkijat selittivät tuolloin.
Jos ihmiset soittivat, toisella puolella oleva ystävällinen henkilö antaisi heille verkkosivuston osoitteen, jolla pian tuleva uhri voisi oletettavasti lopettaa palvelun tilauksen. Tämä verkkosivusto kuitenkin johti heidät haitalliseen lataukseen.
CrowdStrike tunnisti myös tämän vuoden maaliskuussa kampanjan, jossa uhkatoimijat käyttivät takaisinsoitto-phishing-kampanjaa asentaakseen AteraRMM:n, jota seurasi Cobalt Strike auttamaan sivusuunnassa ja asentamaan lisää haittaohjelmia, CrowdStrike-tutkijat sanoivat.
Esiintyminen luotetuksi kumppaniksi
Tutkijat eivät täsmentäneet, mitä muita turvayrityksiä matkittiin kampanjassa, jonka he tunnistivat 8. heinäkuuta, he sanoivat. Blogikirjoitukseensa he sisälsivät kuvakaappauksen sähköpostista, joka lähetettiin CrowdStrikea esiintyville vastaanottajille, mikä vaikuttaa lailliselta yrityksen logon avulla.
Erityisesti sähköposti ilmoittaa kohteelle, että se tulee heidän yrityksensä "ulkoistetulta tietoturvapalveluiden toimittajalta" ja että "epänormaalia toimintaa" on havaittu "verkon segmentissä, johon työasemasi kuuluu".
Viestissä väitetään, että uhrin IT-osastolle on jo ilmoitettu, mutta heidän osallistumisensa vaaditaan heidän yksittäisen työasemansa auditoinnin suorittamiseen CrowdStriken mukaan. Sähköposti kehottaa vastaanottajaa soittamaan annettuun numeroon, jotta tämä voidaan tehdä, jolloin haitallinen toiminta tapahtuu.
Vaikka tutkijat eivät pystyneet tunnistamaan kampanjassa käytettyä haittaohjelmavarianttia, he uskovat suurella todennäköisyydellä, että se sisältää "yhteisiä laillisia etähallintatyökaluja (RAT) ensikäyttöön, valmiita tunkeutumistestaustyökaluja sivuttaisliikettä varten, ja kiristysohjelmien käyttöönotto tai tietojen kiristys", he kirjoittivat.
Mahdollisuus levittää Ransomwarea
Tutkijat arvioivat myös "kohtalaisen luottavaisin mielin", että kampanjaan osallistuvat takaisinsoittooperaattorit "todennäköisesti käyttävät kiristysohjelmia ansaitakseen rahallista toimintaansa", he sanoivat, "koska vuoden 2021 BazarCall-kampanjat johtaisivat lopulta Conti ransomware," he sanoivat.
"Tämä on ensimmäinen tunnistettu takaisinsoittokampanja, joka jäljittelee kyberturvallisuusyksiköitä, ja sillä on suurempi potentiaalinen menestys kyberloukkausten kiireellisyyden vuoksi", tutkijat kirjoittivat.
Lisäksi he korostivat, että CrowdStrike ei koskaan ota yhteyttä asiakkaisiin tällä tavalla, ja kehottivat kaikkia tällaisia sähköposteja vastaanottavia asiakkaitaan välittämään tietojenkalasteluviestit osoitteeseen csirt@crowdstrike.com.
Tämä vakuutus on avainasemassa erityisesti silloin, kun verkkorikolliset ovat niin taitavia sosiaalisen suunnittelun taktiikoissa, jotka vaikuttavat täysin laillisilta pahaa-aavistamattomille haitallisten kampanjoiden kohteille, huomautti eräs tietoturva-ammattilainen.
"Yksi tehokkaan kyberturvallisuustietoisuuden koulutuksen tärkeimmistä puolista on käyttäjien kouluttaminen etukäteen siitä, miten heihin otetaan yhteyttä ja mitä tietoja tai toimia heiltä voidaan pyytää", Chris Clements, kyberturvallisuusyhtiön ratkaisuarkkitehtuurista vastaava varajohtaja. Cerberus Sentinel, kirjoitti sähköpostissa Threatpostille. "On erittäin tärkeää, että käyttäjät ymmärtävät, kuinka lailliset sisäiset tai ulkoiset osastot voivat ottaa heihin yhteyttä, ja tämä on muutakin kuin kyberturvallisuus."
Rekisteröidy nyt tähän on-demand-tapahtumaan: Liity Threatpostin ja Intel Securityn Tom Garrisonin kanssa Threatpostin pyöreän pöydän keskusteluun, jossa keskustellaan innovaatioista, joiden avulla sidosryhmät voivat pysyä dynaamisen uhkakuvan edellä. Opi myös, mitä Intel Security oppi viimeisimmästä tutkimuksestaan yhteistyössä Ponemon Instituen kanssa. KATSO TÄTÄ.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- hakata
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- Web Security
- verkkosivuilla turvallisuus
- zephyrnet
