La campagne de phishing "Callback" usurpe l'identité des entreprises de sécurité

Une nouvelle campagne de phishing par rappel se fait passer pour d'importantes sociétés de sécurité pour tenter d'inciter les victimes potentielles à passer un appel téléphonique qui leur demandera de télécharger des logiciels malveillants.

Les chercheurs de CrowdStrike Intelligence ont découvert la campagne parce que CrowdStrike est en fait l'une des entreprises, parmi d'autres sociétés de sécurité, dont l'identité est usurpée, ont-ils déclaré dans un récent poste de blog.

La campagne utilise un e-mail de phishing typique visant à tromper une victime pour qu'elle réponde avec urgence - dans ce cas, impliquant que l'entreprise du destinataire a été piratée et insistant pour qu'elle appelle un numéro de téléphone inclus dans le message, ont écrit les chercheurs. Si une personne ciblée appelle le numéro, elle atteint quelqu'un qui la dirige vers un site Web avec une intention malveillante, ont-ils déclaré.

"Historiquement, les opérateurs de campagne de rappel tentent de persuader les victimes d'installer un logiciel RAT commercial pour prendre pied sur le réseau", ont écrit les chercheurs dans le post.

Les chercheurs ont comparé la campagne à celle découverte l'année dernière surnommée BazarAppel par The Araignée sorcière groupe menaçant. Cette campagne utilisait une tactique similaire pour tenter d'inciter les gens à passer un appel téléphonique pour refuser le renouvellement d'un service en ligne que le destinataire est censé utiliser actuellement, expliquaient à l'époque les chercheurs de Sophos.

Si des personnes appelaient, une personne amicale de l’autre côté leur donnerait une adresse Web sur laquelle la future victime pourrait soi-disant se désabonner du service. Cependant, ce site Web les a conduits à un téléchargement malveillant.

CrowdStrike a également identifié une campagne en mars de cette année dans laquelle les acteurs de la menace ont utilisé une campagne de phishing de rappel pour installer AteraRMM, suivie de Cobalt Strike pour aider au mouvement latéral et déployer des logiciels malveillants supplémentaires, ont déclaré les chercheurs de CrowdStrike.

Usurper l'identité d'un partenaire de confiance

Les chercheurs n'ont pas précisé quelles autres sociétés de sécurité avaient été usurpées lors de la campagne, qu'ils ont identifiée le 8 juillet, ont-ils indiqué. Dans leur article de blog, ils ont inclus une capture d'écran de l'e-mail envoyé aux destinataires se faisant passer pour CrowdStrike, qui semble légitime en utilisant le logo de l'entreprise.

Plus précisément, l'e-mail informe la cible qu'il provient du "fournisseur de services de sécurité des données externalisés" de son entreprise et qu'une "activité anormale" a été détectée sur le "segment du réseau dont votre poste de travail fait partie".

Le message affirme que le service informatique de la victime a déjà été informé mais que sa participation est requise pour effectuer un audit sur son poste de travail individuel, selon CrowdStrike. L'e-mail demande au destinataire d'appeler un numéro fourni afin que cela puisse être fait, c'est-à-dire lorsque l'activité malveillante se produit.

Bien que les chercheurs n'aient pas été en mesure d'identifier la variante de logiciel malveillant utilisée dans la campagne, ils pensent qu'elle inclura "des outils d'administration à distance légitimes communs (RAT) pour l'accès initial, des outils de test de pénétration prêts à l'emploi pour le mouvement latéral, et le déploiement de rançongiciels ou d'extorsion de données », ont-ils écrit.

Potentiel de propagation des rançongiciels

Les chercheurs ont également évalué avec une "confiance modérée" que les opérateurs de rappel dans la campagne "utiliseront probablement un ransomware pour monétiser leur opération", ont-ils déclaré, "car les campagnes BazarCall 2021 finiraient par conduire à ransomware Conti," ils ont dit.

"Il s'agit de la première campagne de rappel identifiée se faisant passer pour des entités de cybersécurité et a un potentiel de succès plus élevé compte tenu de la nature urgente des cyber-violations", ont écrit les chercheurs.

En outre, ils ont souligné que CrowdStrike ne contacterait jamais les clients de cette manière et ont exhorté tous leurs clients recevant de tels e-mails à transférer les e-mails de phishing à l'adresse csirt@crowdstrike.com.

Cette assurance est essentielle, en particulier lorsque les cybercriminels deviennent si habiles dans les tactiques d'ingénierie sociale qui semblent parfaitement légitimes pour les cibles sans méfiance des campagnes malveillantes, a noté un professionnel de la sécurité.

"L'une des facettes les plus importantes d'une formation efficace de sensibilisation à la cybersécurité est d'informer à l'avance les utilisateurs sur la manière dont ils seront ou ne seront pas contactés, et sur les informations ou les actions qu'ils peuvent être amenés à prendre", Chris Clements, vice-président de l'architecture des solutions chez la société de cybersécurité Sentinelle de Cerberus, a écrit dans un e-mail à Threatpost. "Il est essentiel que les utilisateurs comprennent comment ils peuvent être contactés par des services internes ou externes légitimes, et cela va au-delà de la simple cybersécurité."

Inscrivez-vous maintenant pour cet événement à la demande: Rejoignez Threatpost et Tom Garrison d'Intel Security dans une table ronde Threatpost pour discuter de l'innovation permettant aux parties prenantes de garder une longueur d'avance sur un paysage de menaces dynamique. Découvrez également ce qu'Intel Security a appris de sa dernière étude en partenariat avec le Ponemon Institute. REGARDEZ ICI.