Slachtoffers die geïnstrueerd zijn om een telefoontje te plegen dat hen doorverwijst naar een link voor het downloaden van malware.
Een nieuwe callback phishing-campagne imiteert prominente beveiligingsbedrijven om potentiële slachtoffers te misleiden om een telefoongesprek te voeren dat hen opdraagt malware te downloaden.
Onderzoekers van CrowdStrike Intelligence ontdekten de campagne omdat CrowdStrike eigenlijk een van de bedrijven is, naast andere beveiligingsbedrijven, die wordt nagebootst, zeiden ze in een recente blogpost.
De campagne maakt gebruik van een typische phishing-e-mail die erop gericht is een slachtoffer voor de gek te houden om met spoed te antwoorden - in dit geval implicerend dat het bedrijf van de ontvanger is gehackt en erop staat dat ze een telefoonnummer bellen dat in het bericht staat, schreven onderzoekers. Als een gerichte persoon het nummer belt, bereiken ze iemand die hen met kwade bedoelingen naar een website verwijst, zeiden ze.
"Historisch gezien proberen operators van callback-campagnes slachtoffers over te halen commerciële RAT-software te installeren om een eerste voet aan de grond te krijgen op het netwerk", schreven onderzoekers in de post.
Onderzoekers vergeleken de campagne met een campagne die vorig jaar werd nagesynchroniseerd BazaarBellen Door de Tovenaar Spin dreiging groep. Die campagne gebruikte een vergelijkbare tactiek om mensen ertoe aan te zetten een telefoongesprek te voeren om zich af te melden voor het verlengen van een online service die de ontvanger naar verluidt momenteel gebruikt, legden onderzoekers van Sophos destijds uit.
Als mensen zouden bellen, zou een vriendelijke persoon aan de andere kant hen een websiteadres geven waar het toekomstige slachtoffer zich zogenaamd zou kunnen afmelden voor de dienst. Die website leidde hen echter naar een kwaadaardige download.
CrowdStrike identificeerde in maart van dit jaar ook een campagne waarin bedreigingsactoren een callback-phishing-campagne gebruikten om AteraRMM te installeren, gevolgd door Cobalt Strike om te helpen bij zijwaartse beweging en het inzetten van extra malware, aldus CrowdStrike-onderzoekers.
Zich voordoen als een vertrouwde partner
Onderzoekers hebben niet gespecificeerd welke andere beveiligingsbedrijven werden nagebootst in de campagne, die ze op 8 juli identificeerden, zeiden ze. In hun blogpost namen ze een screenshot op van de e-mail die werd verzonden naar ontvangers die zich voordoen als CrowdStrike, die legitiem lijkt door het gebruik van het bedrijfslogo.
In het bijzonder informeert de e-mail het doelwit dat het afkomstig is van de "uitbestede leverancier van gegevensbeveiligingsservices" van hun bedrijf en dat er "abnormale activiteit" is gedetecteerd op het "segment van het netwerk waarvan uw werkstation deel uitmaakt".
Het bericht beweert dat de IT-afdeling van het slachtoffer al op de hoogte is gebracht, maar dat hun deelname vereist is om een audit uit te voeren op hun individuele werkstation, aldus CrowdStrike. De e-mail instrueert de ontvanger om een opgegeven nummer te bellen zodat dit kan worden gedaan, en dat is wanneer de kwaadaardige activiteit plaatsvindt.
Hoewel onderzoekers niet in staat waren om de malwarevariant te identificeren die in de campagne werd gebruikt, denken ze met grote waarschijnlijkheid dat het "algemene legitieme tools voor extern beheer (RAT's) voor eerste toegang, kant-en-klare penetratietesttools voor laterale beweging, en de inzet van ransomware of gegevensafpersing”, schreven ze.
Potentieel om ransomware te verspreiden
Onderzoekers beoordeelden ook met "gematigd vertrouwen" dat callback-operators in de campagne "waarschijnlijk ransomware zullen gebruiken om geld te verdienen met hun operatie", zeiden ze, "aangezien de BazarCall-campagnes van 2021 uiteindelijk zouden leiden tot Conti-ransomware," ze zeiden.
"Dit is de eerste geïdentificeerde callback-campagne die zich voordoet als cybersecurity-entiteiten en heeft een groter potentieel succes gezien de urgente aard van cyberinbreuken", schreven onderzoekers.
Verder benadrukten ze dat CrowdStrike nooit op deze manier contact zou opnemen met klanten, en drongen ze er bij al hun klanten op aan om phishing-e-mails door te sturen naar het adres csirt@crowdstrike.com.
Deze zekerheid is van cruciaal belang, vooral nu cybercriminelen zo bedreven worden in social engineering-tactieken die volkomen legitiem lijken voor nietsvermoedende doelen van kwaadaardige campagnes, merkte een beveiligingsprofessional op.
"Een van de belangrijkste facetten van effectieve training voor cyberbeveiligingsbewustzijn is het vooraf informeren van gebruikers over hoe ze wel of niet worden benaderd en welke informatie of acties ze kunnen worden gevraagd te nemen", Chris Clements, vice-president van oplossingenarchitectuur bij cyberbeveiligingsbedrijf Cerberus schildwacht, schreef in een e-mail aan Threatpost. "Het is van cruciaal belang dat gebruikers begrijpen hoe ze kunnen worden benaderd door legitieme interne of externe afdelingen, en dit gaat verder dan alleen cyberbeveiliging."
Schrijf je nu in voor dit On-demand Event: Sluit je aan bij Threatpost en Tom Garrison van Intel Security in een Threatpost-rondetafelgesprek over innovatie waardoor belanghebbenden een dynamisch bedreigingslandschap voor kunnen blijven. Ontdek ook wat Intel Security heeft geleerd van hun laatste onderzoek in samenwerking met Ponemon Institue. KIJK HIER.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- Webbeveiliging
- website veiligheid
- zephyrnet
