Ofiary poinstruowano, aby wykonały telefon, który przekieruje je do łącza do pobrania złośliwego oprogramowania.
Nowa kampania phishingowa polegająca na oddzwanianiu podszywa się pod znane firmy zajmujące się bezpieczeństwem, aby spróbować nakłonić potencjalne ofiary do wykonania połączenia telefonicznego, które poinstruuje je, aby pobrać złośliwe oprogramowanie.
Naukowcy z CrowdStrike Intelligence odkryli kampanię, ponieważ CrowdStrike jest w rzeczywistości jedną z firm, wśród innych firm ochroniarskich, podszywającą się pod inne firmy, powiedzieli w niedawnym post na blogu.
Kampania wykorzystuje typowy e-mail phishingowy, którego celem jest oszukanie ofiary do pilnej odpowiedzi – w tym przypadku oznacza to, że firma odbiorcy została naruszona i nalega, aby zadzwoniła pod numer telefonu zawarty w wiadomości, napisali badacze. Powiedzieli, że jeśli osoba atakowana dzwoni pod ten numer, dociera do kogoś, kto kieruje ją na stronę internetową ze złośliwymi intencjami.
„Historycznie operatorzy kampanii oddzwaniania próbują przekonać ofiary do zainstalowania komercyjnego oprogramowania RAT, aby uzyskać wstępny przyczółek w sieci” – napisali badacze w poście.
Naukowcy porównali kampanię do tej odkrytej w zeszłym roku, nazwanej BazarZadzwoń przez Czarodziej Pająk grupa zagrożeń. W tej kampanii zastosowano podobną taktykę, aby zachęcić ludzi do wykonania połączenia telefonicznego w celu rezygnacji z odnowienia usługi online, z której rzekomo obecnie korzysta odbiorca, wyjaśniali wówczas naukowcy z Sophos.
Jeśli ktoś dzwonił, przyjacielska osoba po drugiej stronie podawałaby im adres strony internetowej, na której przyszła ofiara mogłaby rzekomo zrezygnować z usługi. Jednak ta strona zamiast tego doprowadziła ich do złośliwego pobrania.
CrowdStrike zidentyfikował również kampanię w marcu tego roku, w której cyberprzestępcy wykorzystali kampanię phishingową typu callback, aby zainstalować AteraARMM, a następnie Cobalt Strike, aby pomóc w ruchu bocznym i wdrożyć dodatkowe złośliwe oprogramowanie, poinformowali badacze z CrowdStrike.
Podszywanie się pod zaufanego partnera
Naukowcy nie sprecyzowali, pod jakie inne firmy ochroniarskie podszywano się w kampanii, którą zidentyfikowali 8 lipca. W swoim poście na blogu zamieścili zrzut ekranu wiadomości e-mail wysłanej do odbiorców podszywających się pod CrowdStrike, która wydaje się uzasadniona dzięki użyciu logo firmy.
W szczególności wiadomość e-mail informuje odbiorcę, że pochodzi od „zewnętrznego dostawcy usług bezpieczeństwa danych” jego firmy i że „nieprawidłowa aktywność” została wykryta w „segmencie sieci, którego częścią jest Twoja stacja robocza”.
Wiadomość twierdzi, że dział IT ofiary został już powiadomiony, ale ich udział jest wymagany do przeprowadzenia audytu na ich indywidualnej stacji roboczej, według CrowdStrike. Wiadomość e-mail instruuje odbiorcę, aby zadzwonił pod podany numer, aby można było to zrobić, czyli w przypadku wystąpienia złośliwej aktywności.
Chociaż badacze nie byli w stanie zidentyfikować wariantu złośliwego oprogramowania wykorzystywanego w kampanii, z dużym prawdopodobieństwem uważają, że będzie on zawierał „powszechne legalne narzędzia do zdalnej administracji (RAT) do wstępnego dostępu, gotowe narzędzia do testowania penetracji dla ruchu bocznego, oraz wdrażanie oprogramowania ransomware lub wyłudzanie danych” – napisali.
Potencjał rozprzestrzeniania ransomware
Naukowcy ocenili również z „umiarkowaną pewnością”, że operatorzy oddzwaniania w kampanii „prawdopodobnie użyją oprogramowania ransomware do zarabiania na swojej operacji”, powiedzieli, „ponieważ kampanie BazarCall w 2021 r. ostatecznie doprowadzą do Oprogramowanie ransomware Conti," oni powiedzieli.
„Jest to pierwsza zidentyfikowana kampania oddzwaniania podszywająca się pod podmioty zajmujące się cyberbezpieczeństwem i ma większy potencjalny sukces, biorąc pod uwagę pilny charakter naruszeń cybernetycznych” – napisali badacze.
Ponadto podkreślili, że CrowdStrike nigdy nie kontaktowałby się z klientami w ten sposób i wezwali wszystkich swoich klientów otrzymujących takie wiadomości e-mail do przekazywania wiadomości phishingowych na adres csirt@crowdstrike.com.
To zapewnienie jest kluczowe, szczególnie w sytuacji, gdy cyberprzestępcy stają się tak biegli w taktykach socjotechnicznych, które wydają się całkowicie uzasadnione dla niczego niepodejrzewających celów złośliwych kampanii, zauważył jeden ze specjalistów ds. bezpieczeństwa.
„Jednym z najważniejszych aspektów skutecznego szkolenia uświadamiającego w zakresie cyberbezpieczeństwa jest edukowanie użytkowników z wyprzedzeniem, w jaki sposób będą się z nimi kontaktować i jakie informacje lub działania mogą zostać poproszeni o podjęcie” – Chris Clements, wiceprezes ds. architektury rozwiązań w firmie zajmującej się cyberbezpieczeństwem Strażnik Cerbera, napisał w e-mailu do Threatpost. „Niezwykle ważne jest, aby użytkownicy rozumieli, w jaki sposób mogą się z nimi kontaktować legalne działy wewnętrzne lub zewnętrzne, a to wykracza poza zwykłe cyberbezpieczeństwo”.
Zarejestruj się teraz na to wydarzenie na żądanie: Dołącz do Threatpost i Toma Garrisona z firmy Intel Security podczas okrągłego stołu Threatpost omawiającego innowacje umożliwiające interesariuszom wyprzedzenie dynamicznego krajobrazu zagrożeń. Dowiedz się również, czego Intel Security dowiedział się z ostatniego badania przeprowadzonego we współpracy z Ponemon Institue. OBEJRZYJ TUTAJ.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- hacki
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- Bezpieczeństwo sieci
- zabezpieczenia stron internetowych
- zefirnet
