Az áldozatokat telefonhívásra utasították, amely egy rosszindulatú program letöltésére szolgáló linkre irányítja őket.
Egy új visszahívásos adathalász kampány prominens biztonsági cégeket személyesít meg, hogy megpróbálják rávenni a potenciális áldozatokat, hogy olyan telefonhívást kezdeményezzenek, amely rosszindulatú program letöltésére utasítja őket.
A CrowdStrike Intelligence kutatói azért fedezték fel a kampányt, mert a CrowdStrike valójában egyike azon cégeknek, többek között a biztonsági cégeknek, akiket megszemélyesítettek. blog bejegyzés.
A kampány egy tipikus adathalász e-mailt használ, amelynek célja, hogy az áldozatot sürgős válaszadásra tévessze meg – ebben az esetben arra utalva, hogy a címzett cégét feltörték, és ragaszkodik ahhoz, hogy az üzenetben szereplő telefonszámot hívják – írták a kutatók. Ha egy megcélzott személy felhívja a számot, akkor elér valakit, aki rosszindulatú szándékkal egy webhelyre irányítja – mondták.
"Történelmileg a visszahívási kampányok üzemeltetői megpróbálják rávenni az áldozatokat, hogy telepítsenek kereskedelmi RAT-szoftvert, hogy megvegyék a lábukat a hálózaton" - írták a kutatók a bejegyzésben.
A kutatók a kampányt egy tavaly felfedezett kampányhoz hasonlították, amelyet szinkronizáltak BazarCall valami által Varázsló pók threat group. That campaign used a similar tactic to try to spur people to make a phone call to opt-out of renewing an online service the recipient purportedly is currently using, Sophos researchers explained at the time.
If people made the call, a friendly person on the other side would give them a website address where the soon-to-be victim could supposedly unsubscribe from the service. However, that website instead led them to a malicious download.
A CrowdStrike egy olyan kampányt is azonosított idén márciusban, amelyben a fenyegetések szereplői visszahívási adathalász kampányt használtak az AteraRMM telepítésére, majd a Cobalt Strike-ot, hogy segítsék az oldalirányú mozgást és további rosszindulatú programokat telepítsenek – közölték a CrowdStrike kutatói.
Megbízható partnernek való visszaélés
Researchers did not specify what other security companies were being impersonated in the campaign, which they identified on July 8, they said. In their blog post, they included a screenshot of the email sent to recipients impersonating CrowdStrike, which appears legitimate by using the company’s logo.
Konkrétan, az e-mail tájékoztatja a célszemélyt, hogy a cégük „kiszervezett adatbiztonsági szolgáltatójától” érkezik, és „rendellenes tevékenységet” észleltek a „hálózat azon szegmensén, amelynek az Ön munkaállomása is része”.
Az üzenet azt állítja, hogy az áldozat informatikai részlegét már értesítették, de a CrowdStrike szerint részvételük szükséges az egyéni munkaállomás auditálásához. Az e-mail arra utasítja a címzettet, hogy hívja fel a megadott számot, hogy ezt megtehesse, amikor a rosszindulatú tevékenység megtörténik.
Noha a kutatók nem tudták azonosítani a kampányban használt rosszindulatú programváltozatot, nagy valószínűséggel úgy vélik, hogy az „általános legitim távoli adminisztrációs eszközöket (RAT) fog tartalmazni a kezdeti hozzáféréshez, a polcról kapható behatolást tesztelő eszközöket az oldalirányú mozgáshoz, és zsarolóvírusok telepítése vagy adatzsarolás” – írták.
A Ransomware elterjedésének lehetősége
A kutatók azt is „mérsékelt magabiztossággal” értékelték, hogy a kampányban részt vevő visszahívási szolgáltatók „valószínűleg zsarolóprogramokat fognak használni, hogy bevételt szerezzenek működésükből”, mondták, „mivel a 2021-es BazarCall kampányok végül Conti ransomware," azt mondták.
"Ez az első azonosított visszahívási kampány, amely kiberbiztonsági entitásokat ad ki, és nagyobb potenciális sikerrel jár, tekintettel a kibersértések sürgős jellegére" – írták a kutatók.
Further, they stressed that CrowdStrike would never contact customers in this way, and urged any of their customers receiving such emails to forward phishing emails to the address csirt@crowdstrike.com.
Ez a biztosíték kulcsfontosságú, különösen akkor, amikor a kiberbűnözők annyira ügyessé válnak a szociális tervezési taktikákban, amelyek teljesen jogosnak tűnnek a rosszindulatú kampányok gyanútlan célpontjai számára – jegyezte meg egy biztonsági szakember.
Chris Clements, a kiberbiztonsági vállalat megoldási architektúrájáért felelős alelnöke: „A hatékony kiberbiztonsági tudatosságnövelő tréning egyik legfontosabb aspektusa a felhasználók előzetes felvilágosítása arról, hogyan fogják vagy nem veszik fel velük a kapcsolatot, és milyen információkra vagy intézkedésekre kérhetik őket. Cerberus Sentinel, írta e-mailben a Threatpostnak. „Létfontosságú, hogy a felhasználók megértsék, hogyan léphetnek kapcsolatba velük törvényes belső vagy külső osztályok, és ez túlmutat a kiberbiztonságon.”
Regisztráljon most erre az igény szerinti eseményre: Csatlakozzon a Threatposthoz és az Intel Security képviselőjéhez, Tom Garrisonhoz egy Threatpost kerekasztal-beszélgetésen, amely olyan innovációt vitat meg, amely lehetővé teszi az érdekeltek számára, hogy a dinamikus fenyegetési környezet előtt maradjanak. Azt is megtudhatja, hogy mit tanult az Intel Security a Ponemon Intézettel közösen végzett legújabb tanulmányából. Nézze meg ITT.
