Offren uppmanas att ringa ett telefonsamtal som leder dem till en länk för nedladdning av skadlig programvara.
En ny callback-nätfiskekampanj utger sig för att vara framstående säkerhetsföretag för att försöka lura potentiella offer att ringa ett telefonsamtal som instruerar dem att ladda ner skadlig programvara.
Forskare vid CrowdStrike Intelligence upptäckte kampanjen eftersom CrowdStrike faktiskt är ett av företagen, bland andra säkerhetsföretag, som efterliknas, sa de i en nyligen publicerad blogginlägg.
Kampanjen använder ett typiskt nätfiske-e-postmeddelande som syftar till att lura ett offer att svara med brådska – i det här fallet antyder det att mottagarens företag har brutits och insisterar på att de ska ringa ett telefonnummer som ingår i meddelandet, skrev forskare. Om en riktad person ringer numret når de någon som hänvisar dem till en webbplats med uppsåt, sa de.
"Historiskt försöker callback-kampanjoperatörer att övertala offer att installera kommersiell RAT-mjukvara för att få ett första fotfäste på nätverket", skrev forskare i inlägget.
Forskare liknade kampanjen med en dubbad förra året BazarCall genom att Trollkarlsspindel hotgrupp. Kampanjen använde en liknande taktik för att försöka sporra folk att ringa ett telefonsamtal för att välja bort att förnya en onlinetjänst som mottagaren påstås använda för närvarande, förklarade Sophos-forskare då.
Om folk ringde upp skulle en vänlig person på andra sidan ge dem en webbadress där det snart blivande offret skulle kunna avregistrera sig från tjänsten. Men den webbplatsen ledde dem istället till en skadlig nedladdning.
CrowdStrike identifierade också en kampanj i mars i år där hotaktörer använde en callback-nätfiskekampanj för att installera AteraRMM följt av Cobalt Strike för att hjälpa till med laterala rörelser och distribuera ytterligare skadlig kod, sa CrowdStrike-forskare.
Utger sig att vara en betrodd partner
Forskare specificerade inte vilka andra säkerhetsföretag som efterliknades i kampanjen, som de identifierade den 8 juli, sa de. I deras blogginlägg inkluderade de en skärmdump av e-postmeddelandet som skickades till mottagare som utger sig för att vara CrowdStrike, vilket verkar legitimt genom att använda företagets logotyp.
Specifikt informerar e-postmeddelandet målet om att det kommer från deras företags "utlagda leverantör av datasäkerhetstjänster" och att "onormal aktivitet" har upptäckts på "segmentet av nätverket som din arbetsstation är en del av."
Meddelandet hävdar att offrets IT-avdelning redan har underrättats men att deras medverkan krävs för att utföra en revision på sin individuella arbetsstation, enligt CrowdStrike. E-postmeddelandet instruerar mottagaren att ringa ett angett nummer så att detta kan göras, vilket är när den skadliga aktiviteten inträffar.
Även om forskare inte kunde identifiera skadlig programvara som används i kampanjen, tror de med stor sannolikhet att den kommer att inkludera "vanliga legitima fjärradministrationsverktyg (RAT) för initial åtkomst, penetrationstestverktyg från hyllan för sidoförflyttning, och utplaceringen av ransomware eller datautpressning”, skrev de.
Möjlighet att sprida ransomware
Forskare bedömde också med "måttligt självförtroende" att callback-operatörer i kampanjen "sannolikt kommer att använda ransomware för att tjäna pengar på sin verksamhet", sa de, "eftersom 2021 BazarCall-kampanjer så småningom skulle leda till Conti ransomware, Sa de.
"Detta är den första identifierade callback-kampanjen som imiterar cybersäkerhetsenheter och har högre potentiell framgång med tanke på cyberintrångens brådskande karaktär", skrev forskare.
Vidare betonade de att CrowdStrike aldrig skulle kontakta kunder på detta sätt, och uppmanade någon av deras kunder som får sådana e-postmeddelanden att vidarebefordra nätfiske-e-postmeddelanden till adressen csirt@crowdstrike.com.
Denna försäkran är nyckeln särskilt med cyberbrottslingar som blir så skickliga på social ingenjörstaktiker som verkar helt legitima för intet ont anande mål för skadliga kampanjer, noterade en säkerhetsexpert.
"En av de viktigaste aspekterna av effektiv utbildning om cybersäkerhetsmedvetenhet är att utbilda användare i förväg om hur de kommer att kontaktas eller inte, och vilken information eller åtgärder de kan bli ombedda att vidta," Chris Clements, vice vd för lösningsarkitektur på cybersäkerhetsföretaget Cerberus Sentinel, skrev i ett mejl till Threatpost. "Det är viktigt att användare förstår hur de kan bli kontaktade av legitima interna eller externa avdelningar, och detta går utöver bara cybersäkerhet."
Registrera dig nu för detta On-demand-evenemang: Gå med Threatpost och Intel Securitys Tom Garrison i ett Threatpost-rundabord som diskuterar innovation som gör det möjligt för intressenter att ligga steget före i ett dynamiskt hotlandskap. Lär dig också vad Intel Security lärde sig från deras senaste studie i samarbete med Ponemon Institue. SE HÄR.
