Az áldozatokat telefonhívásra utasították, amely egy rosszindulatú program letöltésére szolgáló linkre irányítja őket.
Egy új visszahívásos adathalász kampány prominens biztonsági cégeket személyesít meg, hogy megpróbálják rávenni a potenciális áldozatokat, hogy olyan telefonhívást kezdeményezzenek, amely rosszindulatú program letöltésére utasítja őket.
A CrowdStrike Intelligence kutatói azért fedezték fel a kampányt, mert a CrowdStrike valójában egyike azon cégeknek, többek között a biztonsági cégeknek, akiket megszemélyesítettek. blog bejegyzés.
A kampány egy tipikus adathalász e-mailt használ, amelynek célja, hogy az áldozatot sürgős válaszadásra tévessze meg – ebben az esetben arra utalva, hogy a címzett cégét feltörték, és ragaszkodik ahhoz, hogy az üzenetben szereplő telefonszámot hívják – írták a kutatók. Ha egy megcélzott személy felhívja a számot, akkor elér valakit, aki rosszindulatú szándékkal egy webhelyre irányítja – mondták.
"Történelmileg a visszahívási kampányok üzemeltetői megpróbálják rávenni az áldozatokat, hogy telepítsenek kereskedelmi RAT-szoftvert, hogy megvegyék a lábukat a hálózaton" - írták a kutatók a bejegyzésben.
A kutatók a kampányt egy tavaly felfedezett kampányhoz hasonlították, amelyet szinkronizáltak BazarCall valami által Varázsló pók fenyegetett csoport. Ez a kampány hasonló taktikát alkalmazott, hogy telefonhívásra ösztönözze az embereket, hogy lemondjanak a címzett által állítólag jelenleg használt online szolgáltatás megújításáról – magyarázták akkor a Sophos kutatói.
Ha az emberek felhívták, a másik oldalon egy barátságos személy megadta nekik a weboldal címét, ahol a hamarosan leendő áldozat állítólag leiratkozhat a szolgáltatásról. Ez a webhely azonban rosszindulatú letöltéshez vezette őket.
A CrowdStrike egy olyan kampányt is azonosított idén márciusban, amelyben a fenyegetések szereplői visszahívási adathalász kampányt használtak az AteraRMM telepítésére, majd a Cobalt Strike-ot, hogy segítsék az oldalirányú mozgást és további rosszindulatú programokat telepítsenek – közölték a CrowdStrike kutatói.
Megbízható partnernek való visszaélés
A kutatók nem részletezték, hogy a július 8-án azonosított kampányban milyen más biztonsági cégeket adtak ki. Blogbejegyzésükben egy képernyőképet mellékeltek a CrowdStrike-ot kiadó címzetteknek küldött e-mailről, amely a cég logójának használatával legitimnek tűnik.
Konkrétan, az e-mail tájékoztatja a célszemélyt, hogy a cégük „kiszervezett adatbiztonsági szolgáltatójától” érkezik, és „rendellenes tevékenységet” észleltek a „hálózat azon szegmensén, amelynek az Ön munkaállomása is része”.
Az üzenet azt állítja, hogy az áldozat informatikai részlegét már értesítették, de a CrowdStrike szerint részvételük szükséges az egyéni munkaállomás auditálásához. Az e-mail arra utasítja a címzettet, hogy hívja fel a megadott számot, hogy ezt megtehesse, amikor a rosszindulatú tevékenység megtörténik.
Noha a kutatók nem tudták azonosítani a kampányban használt rosszindulatú programváltozatot, nagy valószínűséggel úgy vélik, hogy az „általános legitim távoli adminisztrációs eszközöket (RAT) fog tartalmazni a kezdeti hozzáféréshez, a polcról kapható behatolást tesztelő eszközöket az oldalirányú mozgáshoz, és zsarolóvírusok telepítése vagy adatzsarolás” – írták.
A Ransomware elterjedésének lehetősége
A kutatók azt is „mérsékelt magabiztossággal” értékelték, hogy a kampányban részt vevő visszahívási szolgáltatók „valószínűleg zsarolóprogramokat fognak használni, hogy bevételt szerezzenek működésükből”, mondták, „mivel a 2021-es BazarCall kampányok végül Conti ransomware," azt mondták.
"Ez az első azonosított visszahívási kampány, amely kiberbiztonsági entitásokat ad ki, és nagyobb potenciális sikerrel jár, tekintettel a kibersértések sürgős jellegére" – írták a kutatók.
Hangsúlyozták továbbá, hogy a CrowdStrike soha nem fog ilyen módon kapcsolatba lépni az ügyfelekkel, és felszólították az ilyen e-maileket kapó ügyfeleiket, hogy továbbítsák az adathalász e-maileket a csirt@crowdstrike.com címre.
Ez a biztosíték kulcsfontosságú, különösen akkor, amikor a kiberbűnözők annyira ügyessé válnak a szociális tervezési taktikákban, amelyek teljesen jogosnak tűnnek a rosszindulatú kampányok gyanútlan célpontjai számára – jegyezte meg egy biztonsági szakember.
Chris Clements, a kiberbiztonsági vállalat megoldási architektúrájáért felelős alelnöke: „A hatékony kiberbiztonsági tudatosságnövelő tréning egyik legfontosabb aspektusa a felhasználók előzetes felvilágosítása arról, hogyan fogják vagy nem veszik fel velük a kapcsolatot, és milyen információkra vagy intézkedésekre kérhetik őket. Cerberus Sentinel, írta e-mailben a Threatpostnak. „Létfontosságú, hogy a felhasználók megértsék, hogyan léphetnek kapcsolatba velük törvényes belső vagy külső osztályok, és ez túlmutat a kiberbiztonságon.”
Regisztráljon most erre az igény szerinti eseményre: Csatlakozzon a Threatposthoz és az Intel Security képviselőjéhez, Tom Garrisonhoz egy Threatpost kerekasztal-beszélgetésen, amely olyan innovációt vitat meg, amely lehetővé teszi az érdekeltek számára, hogy a dinamikus fenyegetési környezet előtt maradjanak. Azt is megtudhatja, hogy mit tanult az Intel Security a Ponemon Intézettel közösen végzett legújabb tanulmányából. Nézze meg ITT.
