Alle vittime viene chiesto di effettuare una telefonata che le indirizzerà a un collegamento per scaricare malware.
Una nuova campagna di callback phishing si sta spacciando per importanti società di sicurezza per cercare di indurre le potenziali vittime a fare una telefonata che le indicherà di scaricare malware.
I ricercatori di CrowdStrike Intelligence hanno scoperto la campagna perché CrowdStrike è in realtà una delle aziende, tra le altre società di sicurezza, ad essere impersonate, hanno affermato in un recente post sul blog.
La campagna utilizza una tipica e-mail di phishing che mira a ingannare la vittima inducendola a rispondere con urgenza, in questo caso lasciando intendere che l'azienda del destinatario è stata violata e insistendo affinché chiami un numero di telefono incluso nel messaggio, hanno scritto i ricercatori. Se una persona presa di mira chiama il numero, raggiunge qualcuno che la indirizza a un sito Web con intenti dannosi, hanno affermato.
"Storicamente, gli operatori delle campagne di callback tentano di persuadere le vittime a installare software RAT commerciale per ottenere un punto d'appoggio iniziale sulla rete", hanno scritto i ricercatori nel post.
I ricercatori hanno paragonato la campagna a quella scoperta l'anno scorso e soprannominata BazaarCall dal Ragno Mago gruppo di minaccia. Quella campagna utilizzava una tattica simile per cercare di spingere le persone a fare una telefonata per rinunciare al rinnovo di un servizio online che il destinatario presumibilmente sta attualmente utilizzando, spiegarono all'epoca i ricercatori di Sophos.
Se le persone avessero effettuato la chiamata, una persona amichevole dall'altra parte avrebbe fornito loro un indirizzo web dove la futura vittima avrebbe potuto presumibilmente annullare l'iscrizione al servizio. Tuttavia, quel sito Web li ha invece portati a un download dannoso.
CrowdStrike ha anche identificato una campagna nel marzo di quest'anno in cui gli autori delle minacce hanno utilizzato una campagna di phishing callback per installare AteraRMM seguita da Cobalt Strike per assistere con il movimento laterale e distribuire ulteriore malware, hanno affermato i ricercatori di CrowdStrike.
Impersonare un partner fidato
I ricercatori non hanno specificato quali altre società di sicurezza sarebbero state impersonificate nella campagna, che hanno identificato l'8 luglio, hanno detto. Nel loro post sul blog, hanno incluso uno screenshot dell'e-mail inviata ai destinatari che si spacciavano per CrowdStrike, che appare legittimo poiché utilizza il logo dell'azienda.
Nello specifico, l'e-mail informa l'obiettivo che proviene dal "fornitore di servizi di sicurezza dei dati in outsourcing" della sua azienda e che è stata rilevata "attività anomala" sul "segmento di rete di cui fa parte la tua workstation".
Il messaggio afferma che il dipartimento IT della vittima è già stato informato ma che la sua partecipazione è necessaria per eseguire un audit sulla propria postazione di lavoro individuale, secondo CrowdStrike. L'e-mail indica al destinatario di chiamare un numero fornito in modo che ciò possa essere fatto, ovvero il momento in cui si verifica l'attività dannosa.
Sebbene i ricercatori non siano stati in grado di identificare la variante del malware utilizzata nella campagna, ritengono con alta probabilità che includerà “strumenti comuni di amministrazione remota (RAT) legittimi per l’accesso iniziale, strumenti di test di penetrazione standardizzati per il movimento laterale, e l’implementazione di ransomware o estorsione di dati”, hanno scritto.
Potenziale di diffusione del ransomware
I ricercatori hanno anche valutato con “moderata fiducia” che gli operatori di callback coinvolti nella campagna “probabilmente utilizzeranno ransomware per monetizzare le loro operazioni”, hanno affermato, “poiché le campagne BazarCall del 2021 alla fine porterebbero a Ransomware Conti," loro hanno detto.
“Questa è la prima campagna di callback identificata che impersonifica entità di sicurezza informatica e ha un potenziale di successo maggiore data la natura urgente delle violazioni informatiche”, hanno scritto i ricercatori.
Inoltre, hanno sottolineato che CrowdStrike non contatterà mai i clienti in questo modo e hanno invitato i clienti che ricevono tali e-mail a inoltrare e-mail di phishing all'indirizzo csirt@crowdstrike.com.
Questa garanzia è fondamentale soprattutto considerando che i criminali informatici sono diventati così abili nelle tattiche di ingegneria sociale che appaiono perfettamente legittime agli ignari obiettivi di campagne dannose, ha osservato un professionista della sicurezza.
"Uno degli aspetti più importanti di un'efficace formazione sulla consapevolezza della sicurezza informatica è educare in anticipo gli utenti su come saranno o meno contattati e su quali informazioni o azioni potrebbero essere invitati a intraprendere", Chris Clements, vicepresidente dell'architettura delle soluzioni presso la società di sicurezza informatica Sentinella di Cerbero, ha scritto in un'e-mail a Threatpost. “È fondamentale che gli utenti comprendano come potrebbero essere contattati da dipartimenti interni o esterni legittimi, e questo va oltre la semplice sicurezza informatica”.
Registrati ora per questo evento su richiesta: Unisciti a Threatpost e Tom Garrison di Intel Security in una tavola rotonda di Threatpost che discute l'innovazione che consente alle parti interessate di stare al passo con un panorama dinamico delle minacce. Inoltre, scopri cosa ha appreso Intel Security dal loro ultimo studio in collaborazione con Ponemon Institue. GUARDA QUI.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- hack
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- Sicurezza Web
- sicurezza del sito Web
- zefiro
