'کال بیک' فشنگ مہم سیکیورٹی فرموں کی نقالی کرتی ہے۔

ٹائم سٹیمپ: 12 جولائی 2022 صبح 7:43 بجے
ماخذ نوڈ: 1574588

متاثرین کو ایک فون کال کرنے کی ہدایت کی گئی ہے جو انہیں میلویئر ڈاؤن لوڈ کرنے کے لیے ایک لنک پر بھیجے گی۔

ایک نئی کال بیک فشنگ مہم ممتاز سیکیورٹی کمپنیوں کی نقالی کر رہی ہے تاکہ ممکنہ متاثرین کو ایک فون کال کرنے کے لیے پھنسانے کی کوشش کریں جو انہیں میلویئر ڈاؤن لوڈ کرنے کی ہدایت کرے گی۔

CrowdStrike Intelligence کے محققین نے اس مہم کو اس لیے دریافت کیا کیونکہ CrowdStrike درحقیقت دیگر سیکیورٹی فرموں میں سے ایک کمپنی ہے، جس کی نقالی کی جا رہی ہے۔ بلاگ پوسٹ.

اس مہم میں ایک عام فشنگ ای میل کا استعمال کیا گیا ہے جس کا مقصد کسی شکار کو فوری جواب دینے میں بے وقوف بنانا ہے — اس معاملے میں، اس بات کا مطلب ہے کہ وصول کنندہ کی کمپنی کی خلاف ورزی کی گئی ہے اور اس بات پر اصرار ہے کہ وہ پیغام میں شامل فون نمبر پر کال کریں، محققین نے لکھا۔ انہوں نے کہا کہ اگر کوئی نشانہ بنایا گیا شخص اس نمبر پر کال کرتا ہے، تو وہ کسی ایسے شخص تک پہنچ جاتا ہے جو انہیں بد نیتی کے ساتھ ویب سائٹ پر بھیجتا ہے۔

Infosec اندرونی نیوز لیٹر

"تاریخی طور پر، کال بیک مہم چلانے والے متاثرین کو نیٹ ورک پر ابتدائی قدم جمانے کے لیے کمرشل RAT سافٹ ویئر انسٹال کرنے پر آمادہ کرنے کی کوشش کرتے ہیں،" محققین نے پوسٹ میں لکھا۔

محققین نے اس مہم کو پچھلے سال ڈب کی گئی مہم سے تشبیہ دی۔ بازار کال کی طرف سے جادوگر مکڑی دھمکی گروپ. سوفوس کے محققین نے اس وقت وضاحت کی کہ اس مہم نے اسی طرح کا حربہ استعمال کیا تاکہ لوگوں کو ایک آن لائن سروس کی تجدید سے آپٹ آؤٹ کرنے کے لیے فون کال کرنے کی ترغیب دی جائے۔

اگر لوگوں نے کال کی تو دوسری طرف سے ایک دوستانہ شخص انہیں ویب سائٹ کا ایڈریس دے گا جہاں جلد ہی متاثر ہونے والا شخص سروس سے رکنیت ختم کر سکتا ہے۔ تاہم، اس کے بجائے اس ویب سائٹ نے انہیں ایک بدنیتی پر مبنی ڈاؤن لوڈ کی طرف لے جایا۔

CrowdStrike نے اس سال مارچ میں ایک مہم کی بھی نشاندہی کی جس میں دھمکی دینے والے اداکاروں نے AteraRMM کو انسٹال کرنے کے لیے کال بیک فشنگ مہم کا استعمال کیا جس کے بعد کوبالٹ اسٹرائیک نے پس منظر کی نقل و حرکت میں مدد کرنے اور اضافی میلویئر کو تعینات کرنے کے لیے استعمال کیا۔

ایک قابل اعتماد ساتھی کی نقالی کرنا

انہوں نے کہا کہ محققین نے یہ واضح نہیں کیا کہ اس مہم میں کن دیگر سیکیورٹی کمپنیوں کی نقالی کی جا رہی ہے، جس کی نشاندہی انہوں نے 8 جولائی کو کی تھی۔ اپنی بلاگ پوسٹ میں، انہوں نے CrowdStrike کی نقالی کرنے والے وصول کنندگان کو بھیجے گئے ای میل کا اسکرین شاٹ شامل کیا، جو کمپنی کے لوگو کا استعمال کرکے جائز معلوم ہوتا ہے۔

خاص طور پر، ای میل ہدف کو مطلع کرتی ہے کہ یہ ان کی کمپنی کے "آؤٹ سورس ڈیٹا سیکیورٹی سروسز وینڈر" سے آرہا ہے، اور یہ کہ "نیٹ ورک کے اس حصے میں جس کا آپ کا ورک سٹیشن ایک حصہ ہے" پر "غیر معمولی سرگرمی" کا پتہ چلا ہے۔

پیغام میں دعویٰ کیا گیا ہے کہ متاثرہ کے آئی ٹی ڈیپارٹمنٹ کو پہلے ہی مطلع کر دیا گیا ہے لیکن کراؤڈ اسٹرائیک کے مطابق، ان کے انفرادی ورک سٹیشن پر آڈٹ کرنے کے لیے ان کی شرکت ضروری ہے۔ ای میل وصول کنندہ کو فراہم کردہ نمبر پر کال کرنے کی ہدایت کرتی ہے تاکہ ایسا کیا جا سکے، جو اس وقت ہوتا ہے جب بدنیتی پر مبنی سرگرمی ہوتی ہے۔

اگرچہ محققین مہم میں استعمال کیے جانے والے میلویئر کے مختلف قسم کی شناخت کرنے میں کامیاب نہیں ہو سکے تھے، لیکن وہ بہت زیادہ امکان کے ساتھ یقین رکھتے ہیں کہ اس میں "ابتدائی رسائی کے لیے عام جائز ریموٹ ایڈمنسٹریشن ٹولز (RATs)، پس منظر کی نقل و حرکت کے لیے آف دی شیلف پینیٹریشن ٹیسٹنگ ٹولز، شامل ہوں گے۔ اور رینسم ویئر کی تعیناتی یا ڈیٹا بھتہ خوری، "انہوں نے لکھا۔

رینسم ویئر کو پھیلانے کا امکان

محققین نے "اعتدال پسند اعتماد" کے ساتھ یہ بھی اندازہ لگایا کہ مہم میں کال بیک آپریٹرز "ممکنہ طور پر اپنے آپریشن کو منیٹائز کرنے کے لیے ransomware کا استعمال کریں گے،" انہوں نے کہا، "کیونکہ 2021 BazarCall مہمات آخر کار ransomware جاری رکھیں،" وہ کہنے لگے.

محققین نے لکھا، "یہ سائبر سیکیورٹی اداروں کی نقالی کرنے والی پہلی شناخت شدہ کال بیک مہم ہے اور سائبر خلاف ورزیوں کی فوری نوعیت کے پیش نظر اس میں زیادہ ممکنہ کامیابی ہے۔"

مزید، انہوں نے اس بات پر زور دیا کہ CrowdStrike اس طرح سے کبھی بھی صارفین سے رابطہ نہیں کرے گا، اور اس طرح کے ای میلز موصول کرنے والے اپنے صارفین میں سے کسی پر بھی زور دیا کہ وہ فشنگ ای میلز csirt@crowdstrike.com پر بھیج دیں۔

یہ یقین دہانی کلیدی حیثیت رکھتی ہے خاص طور پر سائبر کرائمینلز کے سوشل انجینئرنگ کے ہتھکنڈوں میں اس قدر ماہر ہو جاتے ہیں جو بدنیتی پر مبنی مہمات کے غیر مشتبہ اہداف کے لیے بالکل جائز نظر آتے ہیں، ایک سیکورٹی پروفیشنل نے نوٹ کیا۔

سائبرسیکیوریٹی سے متعلق آگاہی کی موثر تربیت کا ایک سب سے اہم پہلو صارفین کو پہلے سے آگاہ کرنا ہے کہ ان سے کس طرح رابطہ کیا جائے گا یا نہیں، اور ان سے کیا معلومات یا اقدامات کرنے کے لیے کہا جا سکتا ہے،" سائبر سیکیورٹی کمپنی میں حل آرکیٹیکچر کے نائب صدر کرس کلیمینٹس۔ Cerberus Sentinel، Threatpost کو ایک ای میل میں لکھا۔ "یہ بہت اہم ہے کہ صارفین یہ سمجھیں کہ ان سے جائز داخلی یا بیرونی محکموں سے کیسے رابطہ کیا جا سکتا ہے، اور یہ صرف سائبرسیکیوریٹی سے بالاتر ہے۔"

اس آن ڈیمانڈ ایونٹ کے لیے ابھی رجسٹر ہوں۔: Threatpost اور Intel Security کے Tom Garrison کے ساتھ Threatpost راؤنڈ ٹیبل میں شامل ہوں جس میں اسٹیک ہولڈرز کو متحرک خطرے کے منظر نامے سے آگے رہنے کے قابل بنا کر جدت پر تبادلہ خیال کریں۔ نیز، یہ بھی جانیں کہ Intel Security نے Ponemon Institue کے ساتھ شراکت میں ان کی تازہ ترین تحقیق سے کیا سیکھا۔ یہاں دیکھو.

ٹائم اسٹیمپ:

سے زیادہ نقل