Фішингова кампанія "Callback" видає себе за охоронні фірми

Нова фішингова кампанія зі зворотним викликом видає себе за відомі охоронні компанії, щоб спробувати обманом змусити потенційних жертв здійснити телефонний дзвінок і вказати їм завантажити зловмисне програмне забезпечення.

Дослідники з CrowdStrike Intelligence виявили цю кампанію, оскільки CrowdStrike насправді є однією з компаній, серед інших охоронних фірм, яку видають за іншу особу, як вони сказали в нещодавньому повідомлення в блозі.

У кампанії використовується типовий фішинговий електронний лист, який має на меті змусити жертву терміново відповісти — у цьому випадку натякаючи, що компанію одержувача було зламано, і наполягати на тому, щоб вони зателефонували на номер телефону, вказаний у повідомленні, пишуть дослідники. Якщо цільова особа дзвонить на номер, вона зв’язується з кимось, хто перенаправляє її на веб-сайт зі зловмисними намірами, кажуть вони.

«Історично склалося так, що оператори кампанії зворотного виклику намагаються переконати жертв встановити комерційне програмне забезпечення RAT, щоб закріпитися в мережі», — пишуть дослідники в дописі.

Дослідники порівняли кампанію з дубляжем, виявленим минулого року BazarCall по Павук-чарівник група загрози. Тоді дослідники Sophos пояснили, що ця кампанія використовувала подібну тактику, щоб спонукати людей зробити телефонний дзвінок і відмовитися від оновлення онлайн-послуги, якою одержувач нібито зараз користується.

Якщо люди дзвонили, доброзичлива людина з іншого боку давала їм адресу веб-сайту, де незабаром жертва могла нібито скасувати підписку на послугу. Однак натомість цей веб-сайт привів їх до зловмисного завантаження.

За словами дослідників CrowdStrike, CrowdStrike також виявив кампанію в березні цього року, в якій зловмисники використовували фішингову кампанію зворотного виклику для встановлення AteraRMM, а потім Cobalt Strike, щоб допомогти з боковим переміщенням і розгорнути додаткові шкідливі програми.

Видавати себе за довіреного партнера

За їхніми словами, дослідники не уточнили, які інші охоронні компанії брали участь у кампанії, яку вони ідентифікували 8 липня. У своїй публікації в блозі вони включили скріншот електронного листа, надісланого одержувачам, які видають себе за CrowdStrike, який виглядає законним через використання логотипу компанії.

Зокрема, електронний лист інформує об’єкт, що він надійшов від «зовнішнього постачальника послуг безпеки даних» їхньої компанії, і що «ненормальну активність» було виявлено в «сегменті мережі, частиною якого є ваша робоча станція».

Згідно з повідомленням CrowdStrike, у повідомленні стверджується, що ІТ-відділ жертви вже був повідомлений, але їхня участь потрібна для проведення аудиту на їх індивідуальній робочій станції. Електронний лист містить вказівку одержувачу зателефонувати за вказаним номером, щоб це можна було зробити, і саме тоді відбувається зловмисна активність.

Хоча дослідники не змогли ідентифікувати варіант зловмисного програмного забезпечення, який використовувався в кампанії, вони з високою ймовірністю вважають, що воно включатиме «звичайні законні інструменти віддаленого адміністрування (RAT) для початкового доступу, готові інструменти тестування на проникнення для бокового переміщення, і розгортання програм-вимагачів або вимагання даних», — написали вони.

Можливість поширення програм-вимагачів

Дослідники також оцінили з «помірною впевненістю», що оператори зворотного виклику в кампанії «ймовірно, використовуватимуть програмне забезпечення-вимагач для монетизації своїх операцій», — сказали вони, «оскільки кампанії BazarCall 2021 року призведуть до Програма-вимагач Conti," вони сказали.

«Це перша ідентифікована кампанія зворотного виклику, яка видає себе за суб’єктів кібербезпеки, і має вищий потенціал успіху, враховуючи терміновий характер кіберзломів», — пишуть дослідники.

Крім того, вони підкреслили, що CrowdStrike ніколи не зв’язуватиметься з клієнтами таким чином, і закликали всіх своїх клієнтів, які отримують такі листи, пересилати фішингові листи на адресу csirt@crowdstrike.com.

Ця впевненість є ключовою, особливо в умовах, коли кіберзлочинці стають настільки вправними в тактиці соціальної інженерії, що здається цілком законною для нічого не підозрюючих цілей зловмисних кампаній, зазначив один спеціаліст із безпеки.

«Одним із найважливіших аспектів ефективного навчання з питань кібербезпеки є попереднє навчання користувачів тому, як з ними зв’язуватимуться чи ні, яку інформацію або дії вони можуть попросити виконати», — Кріс Клементс, віце-президент із архітектури рішень у компанії з кібербезпеки. Страж Цербера, написав в електронному листі до Threatpost. «Важливо, щоб користувачі розуміли, як з ними можуть зв’язатися законні внутрішні або зовнішні відділи, і це виходить за рамки просто кібербезпеки».

Зареєструйтеся зараз для цієї події на вимогу: приєднайтеся до Threatpost і Тома Гаррісона з Intel Security на круглому столі Threatpost, де обговорюйте інновації, які дозволяють зацікавленим сторонам залишатися попереду динамічного середовища загроз. Також дізнайтеся, що Intel Security дізналася з їх останнього дослідження в партнерстві з Ponemon Institute. ГЛЕДАЙТЕ ТУТ.