Nạn nhân được hướng dẫn thực hiện một cuộc gọi điện thoại sẽ dẫn họ đến một liên kết để tải xuống phần mềm độc hại.
Một chiến dịch lừa đảo gọi lại mới đang mạo danh các công ty bảo mật nổi tiếng để cố gắng lừa các nạn nhân tiềm năng thực hiện một cuộc gọi điện thoại sẽ hướng dẫn họ tải xuống phần mềm độc hại.
Các nhà nghiên cứu tại CrowdStrike Intelligence đã phát hiện ra chiến dịch này vì CrowdStrike thực sự là một trong những công ty, trong số các công ty bảo mật khác, bị mạo danh, họ cho biết trong một cuộc phỏng vấn gần đây bài viết trên blog.
Các nhà nghiên cứu viết rằng chiến dịch sử dụng một email lừa đảo thông thường nhằm đánh lừa nạn nhân trả lời khẩn cấp — trong trường hợp này, ngụ ý rằng công ty của người nhận đã bị xâm phạm và khăng khăng rằng họ gọi đến một số điện thoại có trong thư. Nếu một người được nhắm mục tiêu gọi đến số điện thoại này, họ sẽ tiếp cận ai đó hướng họ đến một trang web với mục đích xấu, họ nói.
Các nhà nghiên cứu viết trong bài đăng: “Trong lịch sử, các nhà điều hành chiến dịch gọi lại cố gắng thuyết phục nạn nhân cài đặt phần mềm RAT thương mại để có được chỗ đứng ban đầu trên mạng.
Các nhà nghiên cứu đã ví chiến dịch này giống như một chiến dịch được phát hiện vào năm ngoái được đặt tên là chợ cuộc gọi bởi Nhện phù thủy nhóm đe dọa. Các nhà nghiên cứu của Sophos giải thích vào thời điểm đó, chiến dịch đó đã sử dụng một chiến thuật tương tự để khuyến khích mọi người gọi điện thoại từ chối gia hạn một dịch vụ trực tuyến mà người nhận hiện đang sử dụng.
Nếu mọi người thực hiện cuộc gọi, một người thân thiện ở phía bên kia sẽ cung cấp cho họ địa chỉ trang web mà nạn nhân sắp trở thành được cho là có thể hủy đăng ký dịch vụ. Tuy nhiên, thay vào đó, trang web đó đã dẫn họ đến một bản tải xuống độc hại.
CrowdStrike cũng đã xác định một chiến dịch vào tháng XNUMX năm nay, trong đó các kẻ đe dọa sử dụng chiến dịch lừa đảo gọi lại để cài đặt AteraRMM, sau đó là Cobalt Strike để hỗ trợ di chuyển bên và triển khai phần mềm độc hại bổ sung, các nhà nghiên cứu CrowdStrike cho biết.
Mạo danh Đối tác đáng tin cậy
Các nhà nghiên cứu không chỉ rõ những công ty bảo mật khác đang bị mạo danh trong chiến dịch mà họ đã xác định vào ngày 8 tháng XNUMX, họ nói. Trong bài đăng trên blog của họ, họ bao gồm ảnh chụp màn hình của email được gửi đến người nhận mạo danh CrowdStrike, có vẻ hợp pháp bằng cách sử dụng biểu tượng của công ty.
Cụ thể, email thông báo cho mục tiêu rằng nó đến từ “nhà cung cấp dịch vụ bảo mật dữ liệu thuê ngoài” của công ty họ và “hoạt động bất thường” đã được phát hiện trên “phân đoạn mạng mà máy trạm của bạn là một phần”.
Tin nhắn tuyên bố rằng bộ phận CNTT của nạn nhân đã được thông báo nhưng sự tham gia của họ là bắt buộc để thực hiện kiểm tra trên máy trạm cá nhân của họ, theo CrowdStrike. Email hướng dẫn người nhận gọi đến một số được cung cấp để có thể thực hiện điều này, đó là khi hoạt động độc hại xảy ra.
Mặc dù các nhà nghiên cứu không thể xác định biến thể phần mềm độc hại đang được sử dụng trong chiến dịch, nhưng họ tin rằng khả năng cao là nó sẽ bao gồm “các công cụ quản trị từ xa hợp pháp phổ biến (RAT) để truy cập ban đầu, các công cụ kiểm tra thâm nhập có sẵn để di chuyển bên, và việc triển khai ransomware hoặc mã độc tống tiền dữ liệu, ”họ viết.
Tiềm năng phát tán Ransomware
Các nhà nghiên cứu cũng đánh giá với "độ tin cậy vừa phải" rằng các nhà điều hành cuộc gọi lại trong chiến dịch "có khả năng sẽ sử dụng ransomware để kiếm tiền từ hoạt động của họ", họ nói, "vì các chiến dịch BazarCall năm 2021 cuối cùng sẽ dẫn đến Conti ransomware," họ nói rằng.
Các nhà nghiên cứu viết: “Đây là chiến dịch gọi lại đầu tiên được xác định mạo danh các thực thể an ninh mạng và có khả năng thành công cao hơn do tính chất khẩn cấp của các vụ vi phạm mạng,” các nhà nghiên cứu viết.
Hơn nữa, họ nhấn mạnh rằng CrowdStrike sẽ không bao giờ liên hệ với khách hàng theo cách này và kêu gọi bất kỳ khách hàng nào của họ nhận được những email như vậy chuyển tiếp email lừa đảo đến địa chỉ csirt@crowdstrike.com.
Một chuyên gia bảo mật lưu ý rằng sự đảm bảo này là chìa khóa đặc biệt với tội phạm mạng trở nên quá thành thạo trong các chiến thuật kỹ thuật xã hội dường như hoàn toàn hợp pháp đối với các mục tiêu không nghi ngờ của các chiến dịch độc hại.
“Một trong những khía cạnh quan trọng nhất của đào tạo nâng cao nhận thức về an ninh mạng hiệu quả là giáo dục trước cho người dùng về cách họ sẽ hoặc sẽ không được liên hệ và những thông tin hoặc hành động mà họ có thể được yêu cầu thực hiện,” Chris Clements, phó chủ tịch kiến trúc giải pháp tại công ty an ninh mạng Lính canh Cerberus, đã viết trong một email tới Threatpost. “Điều quan trọng là người dùng phải hiểu cách họ có thể được các bộ phận nội bộ hoặc bên ngoài hợp pháp liên hệ và điều này vượt ra ngoài chỉ an ninh mạng”.
Đăng ký ngay cho Sự kiện theo yêu cầu này: Tham gia Threatpost và Tom Garrison của Intel Security trong một hội nghị bàn tròn về Threatpost thảo luận về sự đổi mới cho phép các bên liên quan đi trước bối cảnh mối đe dọa năng động. Ngoài ra, hãy tìm hiểu những gì Intel Security đã học được từ nghiên cứu mới nhất của họ khi hợp tác với Ponemon Institue. XEM TẠI ĐÂY.
