Ofre blir bedt om å foreta en telefonsamtale som vil lede dem til en lenke for nedlasting av skadelig programvare.
En ny tilbakeringings-phishing-kampanje utgir seg for å være fremtredende sikkerhetsselskaper for å prøve å lure potensielle ofre til å ringe som vil instruere dem om å laste ned skadelig programvare.
Forskere ved CrowdStrike Intelligence oppdaget kampanjen fordi CrowdStrike faktisk er et av selskapene, blant andre sikkerhetsfirmaer, som blir etterlignet, sa de i en nylig blogg innlegg.
Kampanjen bruker en typisk phishing-e-post som tar sikte på å lure et offer til å svare raskt – i dette tilfellet antyder det at mottakerens selskap har blitt brutt og insisterer på at de ringer et telefonnummer som er inkludert i meldingen, skrev forskere. Hvis en målrettet person ringer nummeret, når de noen som leder dem til et nettsted med ondsinnet hensikt, sa de.
"Historisk sett forsøker tilbakeringingskampanjeoperatører å overtale ofre til å installere kommersiell RAT-programvare for å få et første fotfeste på nettverket," skrev forskere i innlegget.
Forskere sammenlignet kampanjen med en som ble oppdaget i fjor kalt BazarCall ved Trollmannsedderkopp trusselgruppe. Den kampanjen brukte en lignende taktikk for å prøve å anspore folk til å ringe for å velge bort å fornye en nettjeneste mottakeren angivelig bruker for øyeblikket, forklarte Sophos-forskere den gang.
Hvis folk ringte, ville en vennlig person på den andre siden gi dem en nettstedsadresse der det snart utsatte offeret angivelig kunne melde seg av tjenesten. Imidlertid førte nettstedet i stedet til en ondsinnet nedlasting.
CrowdStrike identifiserte også en kampanje i mars i år der trusselaktører brukte en tilbakeringings-phishing-kampanje for å installere AteraRMM etterfulgt av Cobalt Strike for å hjelpe til med sideveis bevegelse og distribuere ytterligere skadelig programvare, sa CrowdStrike-forskere.
Utgir seg for å være en pålitelig partner
Forskere spesifiserte ikke hvilke andre sikkerhetsselskaper som ble etterlignet i kampanjen, som de identifiserte 8. juli, sa de. I blogginnlegget deres inkluderte de et skjermbilde av e-posten som ble sendt til mottakere som utgir seg for å være CrowdStrike, som virker legitim ved å bruke selskapets logo.
Nærmere bestemt informerer e-posten målet om at den kommer fra selskapets "leverandør av outsourcede datasikkerhetstjenester", og at "unormal aktivitet" har blitt oppdaget i "segmentet av nettverket som arbeidsstasjonen din er en del av."
Meldingen hevder at offerets IT-avdeling allerede er varslet, men at deres deltakelse er nødvendig for å utføre en revisjon på deres individuelle arbeidsstasjon, ifølge CrowdStrike. E-posten instruerer mottakeren om å ringe et oppgitt nummer slik at dette kan gjøres, som er når den ondsinnede aktiviteten oppstår.
Selv om forskerne ikke var i stand til å identifisere malware-varianten som ble brukt i kampanjen, tror de med stor sannsynlighet at den vil inkludere "vanlige legitime fjernadministrasjonsverktøy (RATs) for initial access, off-the-sohel penetration testing tool for lateral movement, og utplassering av løsepengevare eller datautpressing», skrev de.
Potensial for å spre løsepengevare
Forskere vurderte også med "moderat tillit" at tilbakeringingsoperatører i kampanjen "sannsynligvis vil bruke løsepengevare for å tjene penger på driften," sa de, "ettersom 2021 BazarCall-kampanjer til slutt vil føre til Conti løsepengevare, ”Sa de.
"Dette er den første identifiserte tilbakeringingskampanjen som utgir seg for cybersikkerhetsenheter og har høyere potensiell suksess gitt den presserende karakteren av cyberbrudd," skrev forskere.
Videre understreket de at CrowdStrike aldri ville kontakte kunder på denne måten, og oppfordret noen av deres kunder som mottar slike e-poster til å videresende phishing-e-post til adressen csirt@crowdstrike.com.
Denne forsikringen er nøkkelen, spesielt med nettkriminelle som blir så flinke til sosial ingeniørtaktikk som virker helt legitime for intetanende mål for ondsinnede kampanjer, bemerket en sikkerhetsekspert.
"En av de viktigste fasettene ved effektiv opplæring i cybersikkerhetsbevissthet er å lære brukere på forhånd om hvordan de vil eller ikke vil bli kontaktet, og hvilken informasjon eller handlinger de kan bli bedt om å ta," Chris Clements, visepresident for løsningsarkitektur i cybersikkerhetsselskapet Cerberus Sentinel, skrev i en e-post til Threatpost. "Det er avgjørende at brukere forstår hvordan de kan bli kontaktet av legitime interne eller eksterne avdelinger, og dette går utover bare cybersikkerhet."
Registrer deg nå for dette on-demand-arrangementet: Bli med Threatpost og Intel Securitys Tom Garrison i et Threatpost-rundebord som diskuterer innovasjon som gjør det mulig for interessenter å ligge i forkant av et dynamisk trussellandskap. Lær også hva Intel Security lærte fra deres siste studie i samarbeid med Ponemon Institue. SE HER.
