Фишинговая кампания «Обратный звонок» выдает себя за охранные фирмы

Новая фишинговая кампания с обратным вызовом выдает себя за известные компании по обеспечению безопасности, чтобы попытаться обманом заставить потенциальных жертв сделать телефонный звонок, который даст им указание загрузить вредоносное ПО.

Исследователи из CrowdStrike Intelligence обнаружили эту кампанию, потому что CrowdStrike на самом деле является одной из компаний, выдающих себя за других охранных фирм, говорится в недавнем отчете. блоге.

В кампании используется типичная фишинговая электронная почта с целью обмануть жертву, заставив ее срочно ответить — в данном случае подразумевая, что компания получателя была взломана, и настаивая на том, чтобы они позвонили по номеру телефона, указанному в сообщении, пишут исследователи. По их словам, если целевой человек звонит по номеру, он достигает того, кто направляет его на веб-сайт со злым умыслом.

«Исторически сложилось так, что операторы кампаний обратного вызова пытались убедить жертв установить коммерческое программное обеспечение RAT, чтобы закрепиться в сети», — написали исследователи в своем посте.

Исследователи сравнили эту кампанию с обнаруженной в прошлом году. БазарКолл не провела обыск Волшебный паук группа угроз. Эта кампания использовала аналогичную тактику, чтобы попытаться побудить людей сделать телефонный звонок, чтобы отказаться от продления онлайн-услуги, которую получатель якобы использует в настоящее время, объяснили тогда исследователи Sophos.

Если люди звонили, дружелюбный человек на другой стороне давал им адрес веб-сайта, где будущая жертва якобы могла отказаться от подписки на услугу. Однако вместо этого этот веб-сайт привел их к вредоносной загрузке.

Исследователи CrowdStrike также выявили кампанию в марте этого года, в которой злоумышленники использовали фишинговую кампанию с обратным вызовом для установки AteraRMM, а затем Cobalt Strike, чтобы помочь с боковым перемещением и развертыванием дополнительных вредоносных программ, заявили исследователи CrowdStrike.

Выдача себя за доверенного партнера

По их словам, исследователи не уточнили, какие еще охранные компании выдавали себя за участников кампании, которую они выявили 8 июля. В своем сообщении в блоге они включили скриншот электронного письма, отправленного получателям, выдающим себя за CrowdStrike, которое выглядит законным, поскольку использует логотип компании.

В частности, электронное письмо информирует цель о том, что оно исходит от «аутсорсингового поставщика услуг по обеспечению безопасности данных» их компании и что «ненормальная активность» была обнаружена в «сегменте сети, частью которого является ваша рабочая станция».

В сообщении утверждается, что ИТ-отдел жертвы уже был уведомлен, но его участие необходимо для проведения аудита на его отдельной рабочей станции, согласно CrowdStrike. В электронном письме получателю предлагается позвонить по указанному номеру, чтобы это можно было сделать, и именно тогда происходит вредоносная активность.

Хотя исследователям не удалось идентифицировать вариант вредоносного ПО, используемого в кампании, они с высокой вероятностью полагают, что он будет включать «обычные законные инструменты удаленного администрирования (RAT) для начального доступа, готовые инструменты тестирования на проникновение для бокового перемещения, и развертывание программ-вымогателей или вымогательство данных», — написали они.

Возможность распространения программ-вымогателей

Исследователи также оценили с «умеренной уверенностью», что операторы обратного вызова, участвующие в кампании, «вероятно, будут использовать программы-вымогатели для монетизации своей деятельности, поскольку кампании BazarCall 2021 года в конечном итоге приведут к Conti Ransomware," Они сказали.

«Это первая идентифицированная кампания обратного вызова, выдающая себя за объекты кибербезопасности, и она имеет более высокий потенциальный успех, учитывая срочный характер кибератак», — пишут исследователи.

Кроме того, они подчеркнули, что CrowdStrike никогда не будет связываться с клиентами таким образом, и призвали всех своих клиентов, получающих такие электронные письма, пересылать фишинговые электронные письма на адрес csirt@crowdstrike.com.

Эта гарантия является ключевой, особенно когда киберпреступники становятся настолько искусными в тактике социальной инженерии, что кажутся совершенно законными для ничего не подозревающих целей вредоносных кампаний, отметил один специалист по безопасности.

«Одним из наиболее важных аспектов эффективного обучения по вопросам кибербезопасности является заблаговременное информирование пользователей о том, как с ними будут или не будут связываться, и какую информацию или действия от них могут попросить предпринять», — Крис Клементс, вице-президент по архитектуре решений в компании по кибербезопасности. Цербер Страж, — написали в электронном письме Threatpost. «Очень важно, чтобы пользователи понимали, как с ними могут связаться законные внутренние или внешние отделы, и это выходит за рамки только кибербезопасности».

Зарегистрируйтесь сейчас для этого события по запросу: Присоединяйтесь к Threatpost и Тому Гаррисону из Intel Security на круглом столе Threatpost, посвященном инновациям, позволяющим заинтересованным сторонам опережать динамичный ландшафт угроз. Кроме того, узнайте, что Intel Security узнала из своего последнего исследования, проведенного совместно с Ponemon Institue. СМОТРЕТЬ ЗДЕСЬ.