แคมเปญฟิชชิ่ง 'โทรกลับ' เลียนแบบบริษัทรักษาความปลอดภัย

แคมเปญฟิชชิ่งการโทรกลับแบบใหม่กำลังแอบอ้างบริษัทรักษาความปลอดภัยที่มีชื่อเสียงเพื่อพยายามหลอกล่อผู้ที่อาจเป็นเหยื่อให้โทรออกเพื่อแนะนำให้พวกเขาดาวน์โหลดมัลแวร์

นักวิจัยที่ CrowdStrike Intelligence ค้นพบแคมเปญนี้เนื่องจาก CrowdStrike เป็นหนึ่งในบริษัท ท่ามกลางบริษัทรักษาความปลอดภัยอื่น ๆ ที่ถูกแอบอ้าง พวกเขากล่าวในรายงานล่าสุด โพสต์บล็อก.

แคมเปญนี้ใช้อีเมลฟิชชิ่งทั่วไปโดยมีเป้าหมายเพื่อหลอกเหยื่อให้ตอบกลับอย่างเร่งด่วน ในกรณีนี้ หมายความว่าบริษัทของผู้รับถูกละเมิดและยืนยันว่าพวกเขาโทรไปที่หมายเลขโทรศัพท์ที่รวมอยู่ในข้อความ นักวิจัยเขียน หากบุคคลเป้าหมายโทรไปที่หมายเลข พวกเขาจะเข้าถึงผู้ที่นำพวกเขาไปยังเว็บไซต์ที่มีเจตนาร้าย พวกเขากล่าว

“ในอดีต ผู้ดำเนินการรณรงค์เรียกกลับพยายามเกลี้ยกล่อมเหยื่อให้ติดตั้งซอฟต์แวร์ RAT เชิงพาณิชย์เพื่อตั้งหลักในเครือข่าย” นักวิจัยเขียนไว้ในโพสต์

นักวิจัยเปรียบเทียบแคมเปญนี้กับแคมเปญที่ค้นพบเมื่อปีที่แล้วที่ขนานนามว่า บาซาร์โทร โดย พ่อมดแมงมุม กลุ่มภัยคุกคาม แคมเปญดังกล่าวใช้กลยุทธ์ที่คล้ายกันเพื่อพยายามกระตุ้นให้ผู้คนโทรออกเพื่อยกเลิกการต่ออายุบริการออนไลน์ที่ผู้รับอ้างว่ากำลังใช้อยู่ นักวิจัยของ Sophos อธิบายในขณะนั้น

หากมีคนโทรออก คนที่เป็นมิตรในอีกด้านหนึ่งจะให้ที่อยู่เว็บไซต์แก่พวกเขา ซึ่งผู้ที่ตกเป็นเหยื่อในเร็วๆ นี้จะสามารถยกเลิกการสมัครใช้บริการได้ อย่างไรก็ตาม เว็บไซต์ดังกล่าวกลับนำพวกเขาไปสู่การดาวน์โหลดที่เป็นอันตราย

CrowdStrike ยังระบุแคมเปญในเดือนมีนาคมของปีนี้ซึ่งผู้คุกคามใช้แคมเปญฟิชชิ่งโทรกลับเพื่อติดตั้ง AteraRMM ตามด้วย Cobalt Strike เพื่อช่วยในการเคลื่อนไหวด้านข้างและปรับใช้มัลแวร์เพิ่มเติม นักวิจัย CrowdStrike กล่าว

การแอบอ้างเป็นพันธมิตรที่เชื่อถือได้

นักวิจัยไม่ได้ระบุว่าบริษัทรักษาความปลอดภัยรายใดถูกแอบอ้างในการรณรงค์ดังกล่าว ซึ่งพวกเขาระบุเมื่อวันที่ 8 กรกฎาคม พวกเขากล่าว ในบล็อกโพสต์ พวกเขารวมภาพหน้าจอของอีเมลที่ส่งถึงผู้รับที่แอบอ้างเป็น CrowdStrike ซึ่งดูเหมือนถูกต้องตามกฎหมายโดยใช้โลโก้ของบริษัท

โดยเฉพาะอย่างยิ่ง อีเมลแจ้งเป้าหมายว่ามาจาก "ผู้จำหน่ายบริการรักษาความปลอดภัยข้อมูลภายนอก" ของบริษัท และตรวจพบ "กิจกรรมผิดปกติ" ใน "ส่วนของเครือข่ายที่เวิร์กสเตชันของคุณเป็นส่วนหนึ่ง"

ข้อความดังกล่าวอ้างว่าแผนกไอทีของเหยื่อได้รับแจ้งแล้ว แต่จำเป็นต้องมีส่วนร่วมเพื่อดำเนินการตรวจสอบเวิร์กสเตชันส่วนบุคคลตามรายงานของ CrowdStrike อีเมลแนะนำให้ผู้รับโทรไปยังหมายเลขที่ให้ไว้เพื่อให้สามารถทำได้ ซึ่งเป็นเวลาที่กิจกรรมที่เป็นอันตรายเกิดขึ้น

แม้ว่านักวิจัยจะไม่สามารถระบุตัวแปรของมัลแวร์ที่ใช้ในแคมเปญได้ แต่พวกเขาเชื่อว่ามีความเป็นไปได้สูงที่จะรวม “เครื่องมือการดูแลระบบระยะไกลที่ถูกต้องตามกฎหมาย (RAT) ทั่วไปสำหรับการเข้าถึงครั้งแรก เครื่องมือทดสอบการเจาะนอกชั้นวางสำหรับการเคลื่อนไหวด้านข้าง และการปรับใช้แรนซัมแวร์หรือการกรรโชกข้อมูล” พวกเขาเขียน

ศักยภาพในการแพร่กระจายแรนซัมแวร์

นักวิจัยยังประเมินด้วย “ความมั่นใจปานกลาง” ว่าผู้ดำเนินการโทรกลับในแคมเปญ “มีแนวโน้มที่จะใช้แรนซัมแวร์เพื่อสร้างรายได้จากการดำเนินงานของพวกเขา” พวกเขากล่าว “ในขณะที่แคมเปญ BazarCall ในปี 2021 จะนำไปสู่ คอนติแรนซัมแวร์," พวกเขาพูดว่า.

“นี่เป็นแคมเปญการโทรกลับที่ระบุครั้งแรกซึ่งแอบอ้างเป็นหน่วยงานความปลอดภัยทางไซเบอร์และมีศักยภาพที่ประสบความสำเร็จสูงกว่าเนื่องจากลักษณะเร่งด่วนของการละเมิดทางไซเบอร์” นักวิจัยเขียน

นอกจากนี้ พวกเขาเน้นว่า CrowdStrike จะไม่ติดต่อลูกค้าในลักษณะนี้ และขอให้ลูกค้าคนใดของพวกเขาที่ได้รับอีเมลดังกล่าวส่งต่ออีเมลฟิชชิ่งไปยังที่อยู่ csirt@crowdstrike.com

ผู้เชี่ยวชาญด้านความปลอดภัยรายหนึ่งตั้งข้อสังเกตว่าการรับรองนี้เป็นกุญแจสำคัญโดยเฉพาะอย่างยิ่งกับอาชญากรไซเบอร์ที่เชี่ยวชาญในกลวิธีวิศวกรรมสังคมซึ่งดูเหมือนถูกต้องตามกฎหมายอย่างสมบูรณ์สำหรับเป้าหมายที่ไม่สงสัยของแคมเปญที่เป็นอันตราย

“หนึ่งในแง่มุมที่สำคัญที่สุดของการฝึกอบรมการรับรู้ความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพคือการให้ความรู้ผู้ใช้ล่วงหน้าว่าพวกเขาจะได้รับการติดต่ออย่างไร และข้อมูลหรือการดำเนินการใดที่พวกเขาอาจถูกขอให้ดำเนินการ” Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันที่บริษัทรักษาความปลอดภัยทางไซเบอร์ เซอร์เบอรัส เซนติเนล, เขียนในอีเมลถึง Threatpost “เป็นเรื่องสำคัญที่ผู้ใช้จะต้องเข้าใจว่าพวกเขาอาจถูกติดต่อโดยหน่วยงานภายในหรือภายนอกที่ถูกกฎหมายได้อย่างไร และสิ่งนี้เป็นมากกว่าแค่การรักษาความปลอดภัยทางไซเบอร์”

ลงทะเบียนตอนนี้สำหรับกิจกรรมตามความต้องการนี้: เข้าร่วม Threatpost และ Tom Garrison ของ Intel Security ในโต๊ะกลม Threatpost เพื่อหารือเกี่ยวกับนวัตกรรมที่ช่วยให้ผู้มีส่วนได้ส่วนเสียอยู่เหนือแนวภัยคุกคามแบบไดนามิก นอกจากนี้ เรียนรู้สิ่งที่ Intel Security ได้เรียนรู้จากการศึกษาล่าสุดร่วมกับ Ponemon Institue ดูที่นี่.