As vítimas são instruídas a fazer uma ligação que as direcionará para um link para download de malware.
Uma nova campanha de phishing de retorno de chamada está se passando por empresas de segurança proeminentes para tentar induzir vítimas em potencial a fazerem uma ligação que as instruirá a baixar malware.
Pesquisadores da CrowdStrike Intelligence descobriram a campanha porque a CrowdStrike é na verdade uma das empresas, entre outras empresas de segurança, que está sendo personificada, disseram eles em um recente blog post.
A campanha emprega um típico e-mail de phishing com o objetivo de enganar a vítima para que responda com urgência – neste caso, implicando que a empresa do destinatário foi violada e insistindo para que ligue para um número de telefone incluído na mensagem, escreveram os investigadores. Se uma pessoa visada ligar para o número, ela entrará em contato com alguém que a direcionará para um site com intenções maliciosas, disseram eles.
“Historicamente, os operadores de campanhas de retorno de chamada tentam persuadir as vítimas a instalar software RAT comercial para obter uma posição inicial na rede”, escreveram os pesquisadores no post.
Os pesquisadores compararam a campanha a uma descoberta no ano passado, apelidada BazaarCall pelo Aranha Feiticeira grupo de ameaça. Essa campanha usou uma tática semelhante para tentar estimular as pessoas a telefonarem para cancelar a renovação de um serviço online que o destinatário supostamente está usando atualmente, explicaram os pesquisadores da Sophos na época.
Se as pessoas fizessem a ligação, uma pessoa amigável do outro lado lhes daria um endereço de site onde a futura vítima poderia supostamente cancelar a assinatura do serviço. No entanto, esse site os levou a um download malicioso.
A CrowdStrike também identificou uma campanha em março deste ano na qual os agentes de ameaças usaram uma campanha de phishing de retorno de chamada para instalar o AteraRMM seguido pelo Cobalt Strike para ajudar no movimento lateral e implantar malware adicional, disseram os pesquisadores da CrowdStrike.
Representando um parceiro confiável
Os pesquisadores não especificaram quais outras empresas de segurança estavam sendo representadas na campanha, que identificaram em 8 de julho, disseram. Na postagem do blog, eles incluíram uma captura de tela do e-mail enviado aos destinatários se passando por CrowdStrike, que parece legítimo usando o logotipo da empresa.
Especificamente, o e-mail informa ao alvo que ele vem do “fornecedor terceirizado de serviços de segurança de dados” da empresa e que “atividade anormal” foi detectada no “segmento da rede da qual sua estação de trabalho faz parte”.
A mensagem afirma que o departamento de TI da vítima já foi notificado, mas que sua participação é necessária para realizar uma auditoria em sua estação de trabalho individual, segundo CrowdStrike. O e-mail instrui o destinatário a ligar para um número fornecido para que isso seja feito, que é quando ocorre a atividade maliciosa.
Embora os pesquisadores não tenham conseguido identificar a variante de malware usada na campanha, eles acreditam que é altamente provável que ela inclua “ferramentas comuns de administração remota (RATs) legítimas para acesso inicial, ferramentas de teste de penetração prontas para uso para movimentação lateral, e a implantação de ransomware ou extorsão de dados”, escreveram.
Potencial para espalhar ransomware
Os pesquisadores também avaliaram com “confiança moderada” que os operadores de retorno de chamada na campanha “provavelmente usarão ransomware para monetizar suas operações”, disseram eles, “já que as campanhas BazarCall de 2021 acabariam por levar a Conti ransomware," eles disseram.
“Esta é a primeira campanha de retorno de chamada identificada que se faz passar por entidades de segurança cibernética e tem maior potencial de sucesso dada a natureza urgente das violações cibernéticas”, escreveram os pesquisadores.
Além disso, eles enfatizaram que a CrowdStrike nunca entraria em contato com os clientes dessa forma e instaram qualquer um de seus clientes que recebesse tais e-mails a encaminhar e-mails de phishing para o endereço csirt@crowdstrike.com.
Esta garantia é fundamental, especialmente quando os cibercriminosos se tornam tão adeptos de táticas de engenharia social que parecem perfeitamente legítimas para alvos insuspeitos de campanhas maliciosas, observou um profissional de segurança.
“Uma das facetas mais importantes de um treinamento eficaz de conscientização em segurança cibernética é educar antecipadamente os usuários sobre como eles serão ou não contatados e quais informações ou ações eles poderão ser solicitados a realizar”, Chris Clements, vice-presidente de arquitetura de soluções da empresa de segurança cibernética. Sentinela Cerberus, escreveu em um e-mail para Threatpost. “É fundamental que os usuários entendam como podem ser contatados por departamentos internos ou externos legítimos, e isso vai além da simples segurança cibernética.”
Registre-se agora para este evento sob demanda: Junte-se ao Threatpost e a Tom Garrison da Intel Security em uma mesa redonda do Threatpost discutindo a inovação que permite que as partes interessadas se mantenham à frente de um cenário de ameaças dinâmico. Saiba também o que a Intel Security aprendeu com seu estudo mais recente em parceria com o Ponemon Institute. ASSISTA AQUI.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- hacks
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- Segurança na Web
- a segurança do website
- zefirnet
