Korban diinstruksikan untuk melakukan panggilan telepon yang akan mengarahkan mereka ke tautan untuk mengunduh malware.
Kampanye phishing panggilan balik baru meniru identitas perusahaan keamanan terkemuka untuk mencoba mengelabui calon korban agar melakukan panggilan telepon yang akan menginstruksikan mereka untuk mengunduh malware.
Para peneliti di CrowdStrike Intelligence menemukan kampanye tersebut karena CrowdStrike sebenarnya adalah salah satu perusahaan, di antara perusahaan keamanan lainnya, yang menyamar, kata mereka dalam baru-baru ini. posting blog.
Kampanye ini menggunakan email phishing biasa yang bertujuan untuk menipu korban agar membalas dengan segera—dalam hal ini, menyiratkan bahwa perusahaan penerima telah dilanggar dan bersikeras bahwa mereka menelepon nomor telepon yang disertakan dalam pesan, tulis para peneliti. Jika seseorang yang ditargetkan memanggil nomor tersebut, mereka mencapai seseorang yang mengarahkan mereka ke situs web dengan niat jahat, kata mereka.
“Secara historis, operator kampanye panggilan balik berusaha membujuk korban untuk menginstal perangkat lunak RAT komersial untuk mendapatkan pijakan awal di jaringan,” tulis para peneliti dalam posting tersebut.
Para peneliti menyamakan kampanye itu dengan yang ditemukan tahun lalu yang dijuluki Panggilan Bazar oleh Laba-laba Penyihir kelompok ancaman. Kampanye itu menggunakan taktik serupa untuk mencoba mendorong orang melakukan panggilan telepon untuk memilih keluar dari memperbarui layanan online yang konon sedang digunakan oleh penerima, peneliti Sophos menjelaskan pada saat itu.
Jika orang melakukan panggilan, orang yang ramah di sisi lain akan memberi mereka alamat situs web di mana calon korban dapat berhenti berlangganan layanan tersebut. Namun, situs web itu malah mengarahkan mereka ke unduhan berbahaya.
CrowdStrike juga mengidentifikasi kampanye pada bulan Maret tahun ini di mana pelaku ancaman menggunakan kampanye callback phishing untuk menginstal AteraRMM diikuti oleh Cobalt Strike untuk membantu gerakan lateral dan menyebarkan malware tambahan, kata peneliti CrowdStrike.
Meniru sebagai Mitra Tepercaya
Para peneliti tidak merinci perusahaan keamanan apa yang ditiru dalam kampanye tersebut, yang mereka identifikasi pada 8 Juli, kata mereka. Dalam posting blog mereka, mereka menyertakan tangkapan layar email yang dikirim ke penerima yang meniru CrowdStrike, yang tampak sah dengan menggunakan logo perusahaan.
Secara khusus, email tersebut menginformasikan target bahwa itu berasal dari "vendor layanan keamanan data outsourcing" perusahaan mereka, dan bahwa "aktivitas abnormal" telah terdeteksi pada "segmen jaringan tempat workstation Anda menjadi bagiannya."
Pesan tersebut mengklaim bahwa departemen TI korban telah diberitahu tetapi partisipasi mereka diperlukan untuk melakukan audit pada workstation masing-masing, menurut CrowdStrike. Email tersebut menginstruksikan penerima untuk menghubungi nomor yang disediakan agar hal tersebut dapat dilakukan, yaitu saat aktivitas jahat tersebut terjadi.
Meskipun para peneliti tidak dapat mengidentifikasi varian malware yang digunakan dalam kampanye, mereka percaya dengan kemungkinan besar bahwa itu akan mencakup “alat administrasi jarak jauh (RAT) yang sah untuk akses awal, alat pengujian penetrasi yang tersedia untuk pergerakan lateral, dan penyebaran ransomware atau pemerasan data,” tulis mereka.
Potensi Menyebarkan Ransomware
Para peneliti juga menilai dengan “keyakinan sedang” bahwa operator panggilan balik dalam kampanye “kemungkinan akan menggunakan ransomware untuk memonetisasi operasi mereka,” kata mereka, “karena kampanye BazarCall 2021 pada akhirnya akan mengarah pada Lanjutan ransomware," mereka berkata.
“Ini adalah kampanye panggilan balik pertama yang diidentifikasi meniru entitas keamanan siber dan memiliki potensi keberhasilan yang lebih tinggi mengingat sifat mendesak dari pelanggaran siber,” tulis para peneliti.
Lebih lanjut, mereka menekankan bahwa CrowdStrike tidak akan pernah menghubungi pelanggan dengan cara ini, dan mendesak pelanggan mereka yang menerima email semacam itu untuk meneruskan email phishing ke alamat csirt@crowdstrike.com.
Jaminan ini adalah kunci terutama dengan penjahat dunia maya menjadi sangat mahir dalam taktik rekayasa sosial yang tampak sangat sah untuk target kampanye jahat yang tidak menaruh curiga, kata seorang profesional keamanan.
“Salah satu aspek terpenting dari pelatihan kesadaran keamanan siber yang efektif adalah mendidik pengguna sebelumnya tentang bagaimana mereka akan atau tidak akan dihubungi, dan informasi atau tindakan apa yang mungkin diminta untuk mereka ambil,” Chris Clements, wakil presiden arsitektur solusi di perusahaan keamanan siber Penjaga Cerberus, tulis dalam email ke Threatpost. “Sangat penting bagi pengguna untuk memahami bagaimana mereka dapat dihubungi oleh departemen internal atau eksternal yang sah, dan ini lebih dari sekadar keamanan siber.”
Daftar Sekarang untuk Acara Sesuai Permintaan ini: Bergabunglah dengan Threatpost dan Tom Garrison dari Intel Security dalam diskusi meja bundar Threatpost yang membahas inovasi yang memungkinkan pemangku kepentingan untuk tetap terdepan dalam lanskap ancaman yang dinamis. Juga, pelajari apa yang Intel Security pelajari dari studi terbaru mereka dalam kemitraan dengan Ponemon Institue. TONTON DI SINI.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- hacks
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Keamanan Web
- website security
- zephyrnet.dll
