Victimele au fost instruite să efectueze un apel telefonic care le va direcționa către un link pentru descărcarea programelor malware.
O nouă campanie de phishing de apel invers uzurpă identitatea unor companii de securitate proeminente pentru a încerca să păcălească potențialele victime să facă un apel telefonic care le va instrui să descarce malware.
Cercetătorii de la CrowdStrike Intelligence au descoperit campania deoarece CrowdStrike este de fapt una dintre companiile, printre alte firme de securitate, care este uzurpată identitatea, au spus ei într-un recent postare pe blog.
Campania folosește un e-mail tipic de phishing care urmărește să păcălească o victimă să răspundă urgent – în acest caz, implicând că compania destinatarului a fost încălcată și insistând să sune la un număr de telefon inclus în mesaj, au scris cercetătorii. Dacă o persoană vizată sună la numărul, aceasta ajunge la cineva care o direcționează către un site web cu intenții rău intenționate, au spus ei.
„În mod istoric, operatorii de campanii de apel invers încearcă să convingă victimele să instaleze software comercial RAT pentru a obține un punct inițial în rețea”, au scris cercetătorii în postare.
Cercetătorii au comparat campania cu una descoperită anul trecut, numită BazarCall langa Păianjen Vrăjitor grup de amenințare. Acea campanie a folosit o tactică similară pentru a încerca să-i încurajeze pe oameni să efectueze un apel telefonic pentru a renunța la reînnoirea unui serviciu online pe care se presupune că îl folosește în prezent destinatarul, au explicat atunci cercetătorii Sophos.
Dacă oamenii apelau, o persoană prietenoasă de cealaltă parte le-ar da o adresă de site web unde victima care va fi în curând s-ar putea dezabona de la serviciu. Cu toate acestea, site-ul respectiv i-a condus la o descărcare rău intenționată.
CrowdStrike a identificat, de asemenea, o campanie în martie a acestui an în care actorii amenințărilor au folosit o campanie de phishing de apel invers pentru a instala AteraRMM, urmată de Cobalt Strike pentru a ajuta la mișcarea laterală și pentru a implementa malware suplimentar, au spus cercetătorii CrowdStrike.
Uzurparea identității unui partener de încredere
Cercetătorii nu au precizat ce alte companii de securitate au fost uzurpate în campanie, pe care le-au identificat pe 8 iulie, au spus ei. În postarea lor de pe blog, ei au inclus o captură de ecran a e-mailului trimis destinatarilor care se uită la CrowdStrike, care pare legitimă prin utilizarea siglei companiei.
Mai exact, e-mailul informează ținta că vine de la „furnizorul de servicii de securitate a datelor externalizat” al companiei lor și că „activitate anormală” a fost detectată pe „segmentul rețelei din care face parte stația ta de lucru”.
Mesajul susține că departamentul IT al victimei a fost deja anunțat, dar că participarea lor este necesară pentru a efectua un audit pe stația lor de lucru individuală, potrivit CrowdStrike. E-mailul îi cere destinatarului să sune la un număr furnizat, astfel încât acest lucru să se poată face, atunci când are loc activitatea rău intenționată.
Deși cercetătorii nu au reușit să identifice varianta de malware utilizată în campanie, ei cred cu mare probabilitate că va include „instrumente comune de administrare la distanță (RAT) legitime pentru accesul inițial, instrumente de testare de penetrare disponibile pentru mișcarea laterală, și implementarea de ransomware sau extorcare de date”, au scris aceștia.
Potențial de răspândire a ransomware
Cercetătorii au evaluat, de asemenea, cu „încredere moderată” că operatorii de callback din campanie „vor folosi probabil ransomware pentru a-și monetiza operațiunile”, au spus ei, „deoarece campaniile BazarCall din 2021 vor duce în cele din urmă la Conti ransomware," au zis.
„Aceasta este prima campanie de apel invers identificată care uzurpă identitatea entităților de securitate cibernetică și are un succes potențial mai mare, având în vedere natura urgentă a încălcărilor cibernetice”, au scris cercetătorii.
În plus, ei au subliniat că CrowdStrike nu va contacta niciodată clienții în acest fel și i-au îndemnat pe oricare dintre clienții lor care primesc astfel de e-mailuri să trimită e-mailuri de phishing la adresa csirt@crowdstrike.com.
Această asigurare este esențială în special în cazul în care infractorii cibernetici devin atât de adepți la tactici de inginerie socială care par perfect legitime pentru țintele nebănuite ale campaniilor rău intenționate, a remarcat un profesionist în securitate.
„Una dintre cele mai importante fațete ale formării eficiente de conștientizare a securității cibernetice este educarea în prealabil a utilizatorilor cu privire la modul în care vor sau nu vor fi contactați și ce informații sau acțiuni li se poate cere să întreprindă”, Chris Clements, vicepreședinte al arhitecturii soluțiilor la compania de securitate cibernetică. Cerberus Sentinel, a scris într-un e-mail către Threatpost. „Este esențial ca utilizatorii să înțeleagă cum pot fi contactați de departamentele interne sau externe legitime, iar acest lucru depășește doar securitatea cibernetică.”
Înregistrați-vă acum pentru acest eveniment la cerere: Alăturați-vă Threatpost și Tom Garrison de la Intel Security într-o masă rotundă Threatpost care discută despre inovație care le permite părților interesate să rămână în fruntea unui peisaj dinamic de amenințări. De asemenea, aflați ce a învățat Intel Security din ultimul lor studiu în parteneriat cu Ponemon Institue. VEZI AICI.
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- hacks
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- Securitate Web
- securitatea site-ului
- zephyrnet
