Žrtvam je bilo naročeno, naj opravijo telefonski klic, ki jih bo usmeril na povezavo za prenos zlonamerne programske opreme.
Nova kampanja lažnega predstavljanja s povratnim klicem lažno predstavlja ugledna varnostna podjetja, da bi poskušala morebitne žrtve preslepiti, da bi opravili telefonski klic in jim naročili, naj prenesejo zlonamerno programsko opremo.
Raziskovalci pri CrowdStrike Intelligence so odkrili kampanjo, ker je CrowdStrike dejansko eno od podjetij, med drugimi varnostnimi podjetji, ki se lažno predstavljajo, so povedali v nedavnem blog post.
Kampanja uporablja tipično e-poštno sporočilo z lažnim predstavljanjem, katerega namen je preslepiti žrtev, da odgovori z nujnostjo – v tem primeru namiguje, da je bil vdor v prejemnikovo podjetje, in vztraja, da pokliče telefonsko številko, navedeno v sporočilu, so zapisali raziskovalci. Če ciljna oseba pokliče številko, doseže nekoga, ki jo usmeri na spletno stran z zlonamernimi nameni, so povedali.
"V preteklosti operaterji kampanj za povratni klic poskušajo prepričati žrtve, da namestijo komercialno programsko opremo RAT, da pridobijo prvotno oporo v omrežju," so zapisali raziskovalci v objavi.
Raziskovalci so kampanjo primerjali z lani odkrito sinhronizirano BazarCall z Čarovniški pajek skupina groženj. Ta kampanja je uporabila podobno taktiko, da bi spodbudila ljudi, da opravijo telefonski klic, da bi se odpovedali podaljšanju spletne storitve, ki jo prejemnik domnevno trenutno uporablja, so takrat pojasnili Sophosovi raziskovalci.
Če bi ljudje poklicali, bi jim prijazna oseba na drugi strani dala naslov spletne strani, kjer bi se bodoča žrtev domnevno lahko odjavila od storitve. Vendar jih je to spletno mesto pripeljalo do zlonamernega prenosa.
CrowdStrike je marca letos identificiral tudi kampanjo, v kateri so akterji groženj uporabili kampanjo lažnega predstavljanja s povratnim klicem za namestitev AteraRMM, ki ji je sledil Cobalt Strike za pomoč pri bočnem premikanju in uvedbo dodatne zlonamerne programske opreme, so povedali raziskovalci CrowdStrike.
Lažno predstavljanje kot zaupanja vreden partner
Raziskovalci niso navedli, katera druga varnostna podjetja so bila oponašana v kampanji, ki so jo identificirali 8. julija, so povedali. V svojo objavo v spletnem dnevniku so vključili posnetek zaslona e-pošte, poslanega prejemnikom, ki se lažno predstavljajo kot CrowdStrike, kar se zdi legitimno z uporabo logotipa podjetja.
Natančneje, e-poštno sporočilo obvešča tarčo, da prihaja od "zunanjega izvajalca storitev za varnost podatkov" njihovega podjetja in da je bila zaznana "nenormalna dejavnost" na "segmentu omrežja, katerega del je vaša delovna postaja."
Sporočilo trdi, da je bil oddelek IT žrtve že obveščen, vendar je njihova udeležba potrebna za izvedbo revizije na njihovi posamezni delovni postaji, poroča CrowdStrike. E-poštno sporočilo prejemniku naroči, naj pokliče navedeno številko, da to lahko stori, takrat pa pride do zlonamerne dejavnosti.
Čeprav raziskovalci niso mogli identificirati različice zlonamerne programske opreme, ki je bila uporabljena v kampanji, verjamejo z veliko verjetnostjo, da bo vključevala »običajna zakonita orodja za oddaljeno upravljanje (RAT) za začetni dostop, standardna orodja za testiranje penetracije za bočno premikanje, in namestitev izsiljevalske programske opreme ali izsiljevanje podatkov,« so zapisali.
Možnost širjenja izsiljevalske programske opreme
Raziskovalci so tudi ocenili z »zmerno samozavestjo«, da bodo operaterji povratnih klicev v kampanji »verjetno uporabili izsiljevalsko programsko opremo za monetizacijo svojega delovanja,« so rekli, »saj bi kampanje BazarCall 2021 sčasoma vodile do Conti odkupna programska oprema," rekli so.
"To je prva ugotovljena kampanja povratnega klica, ki se predstavlja za subjekte kibernetske varnosti in ima večji potencial uspeha glede na nujno naravo kibernetskih vdorov," so zapisali raziskovalci.
Nadalje so poudarili, da CrowdStrike ne bo nikoli stopil v stik s strankami na ta način, in pozvali vse svoje stranke, ki prejmejo takšna e-poštna sporočila, naj posredujejo phishing e-poštna sporočila na naslov csirt@crowdstrike.com.
To zagotovilo je ključnega pomena zlasti pri kibernetskih kriminalcih, ki postajajo tako vešči taktik socialnega inženiringa, da se nič hudega slutečim tarčam zlonamernih kampanj zdijo popolnoma zakonite, je opozoril en strokovnjak za varnost.
"Eden najpomembnejših vidikov učinkovitega usposabljanja za ozaveščanje o kibernetski varnosti je predhodno izobraževanje uporabnikov o tem, kako bodo ali ne bodo stopili v stik in katere informacije ali dejanja bodo morda morali izvesti," Chris Clements, podpredsednik za arhitekturo rešitev pri podjetju za kibernetsko varnost. Cerberus Sentinel, je zapisal v e-poštnem sporočilu Threatpostu. "Ključnega pomena je, da uporabniki razumejo, kako lahko zakoniti notranji ali zunanji oddelki stopijo v stik z njimi, in to presega samo kibernetsko varnost."
Prijavite se zdaj za ta dogodek na zahtevo: Pridružite se Threatpostu in Tomu Garrisonu iz Intel Security na okrogli mizi Threatposta, ki razpravlja o inovacijah, ki zainteresiranim stranem omogočajo, da ostanejo pred dinamično pokrajino groženj. Izvedite tudi, kaj se je Intel Security naučil iz svoje najnovejše študije v sodelovanju s Ponemon Institute. OGLED TUKAJ.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- žaga
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- Spletna varnost
- spletna varnost
- zefirnet
