受害者被指示拨打电话,将他们引导至下载恶意软件的链接。
一种新的回拨网络钓鱼活动正在冒充知名安全公司,试图诱骗潜在受害者拨打电话,指示他们下载恶意软件。
CrowdStrike Intelligence 的研究人员在最近的一份报告中表示,他们发现了该活动,因为 CrowdStrike 实际上是被冒充的安全公司之一。 博客文章
研究人员写道,该活动采用了典型的网络钓鱼电子邮件,旨在欺骗受害者紧急回复,这意味着收件人的公司已被入侵,并坚持要求他们拨打邮件中包含的电话号码。 他们说,如果目标用户拨打该号码,他们就会联系到某个人,该人会将他们引导至恶意网站。
研究人员在帖子中写道:“从历史上看,回调活动运营商试图说服受害者安装商业 RAT 软件,以在网络上获得初步立足点。”
研究人员将这一活动与去年发现的一项名为“ 集市电话 由 巫师蜘蛛 威胁团体。 Sophos 研究人员当时解释说,该活动使用了类似的策略,试图刺激人们打电话选择不续订据称接收者目前正在使用的在线服务。
如果人们拨打电话,另一边的友好人员会给他们一个网站地址,即将成为受害者的人可以在该网站上取消订阅该服务。然而,该网站反而导致他们进行恶意下载。
CrowdStrike 研究人员表示,CrowdStrike 还发现了今年 XNUMX 月的一次活动,其中威胁行为者使用回调网络钓鱼活动安装 AteraRMM,然后使用 Cobalt Strike 来协助横向移动并部署其他恶意软件。
冒充值得信赖的合作伙伴
研究人员表示,研究人员在 8 月 XNUMX 日确认了此次活动中还冒充了哪些其他安全公司,但并未具体说明。在他们的博客文章中,他们附上了发送给冒充 CrowdStrike 的收件人的电子邮件的屏幕截图,该电子邮件通过使用该公司的徽标而显得合法。
具体来说,该电子邮件通知目标,它来自其公司的“外包数据安全服务供应商”,并且在“您的工作站所属的网络段”上检测到“异常活动”。
据 CrowdStrike 称,该消息声称受害者的 IT 部门已收到通知,但需要他们参与对其个人工作站进行审核。 该电子邮件指示收件人拨打提供的号码,以便可以完成此操作,此时恶意活动就会发生。
尽管研究人员无法识别该活动中使用的恶意软件变体,但他们相信该变体很可能包括“用于初始访问的通用合法远程管理工具(RAT)、用于横向移动的现成渗透测试工具、以及勒索软件或数据勒索的部署,”他们写道。
传播勒索软件的可能性
研究人员还以“适度的信心”评估,该活动中的回调运营商“可能会使用勒索软件来通过其运营获利”,他们表示,“因为 2021 年 BazarCall 活动最终将导致 Conti勒索软件,“ 他们说。
研究人员写道:“这是第一个被识别的冒充网络安全实体的回调活动,鉴于网络漏洞的紧迫性,它具有更高的成功潜力。”
此外,他们强调 CrowdStrike 绝不会以这种方式联系客户,并敦促收到此类电子邮件的任何客户将网络钓鱼电子邮件转发到地址 csirt@crowdstrike.com。
一位安全专业人士指出,这种保证至关重要,尤其是在网络犯罪分子变得如此擅长社交工程策略的情况下,这些策略对于毫无戒心的恶意活动目标来说似乎完全合法。
网络安全公司解决方案架构副总裁 Chris Clements 表示:“有效的网络安全意识培训最重要的方面之一是事先教育用户如何联系或不联系他们,以及可能会要求他们采取哪些信息或行动。” Cerberus前哨,在给 Threatpost 的电子邮件中写道。 “用户了解合法的内部或外部部门如何联系他们至关重要,这不仅仅是网络安全的问题。”
立即注册此点播活动:加入 Threatpost 和 Intel Security 的 Tom Garrison 参加 Threatpost 圆桌会议,讨论使利益相关者能够在动态威胁环境中保持领先的创新。 此外,了解 Intel Security 从他们与 Ponemon Institue 合作的最新研究中学到了什么。 在这里观看.
