受害者被指示拨打电话,将他们引导至下载恶意软件的链接。
一种新的回拨网络钓鱼活动正在冒充知名安全公司,试图诱骗潜在受害者拨打电话,指示他们下载恶意软件。
CrowdStrike Intelligence 的研究人员在最近的一份报告中表示,他们发现了该活动,因为 CrowdStrike 实际上是被冒充的安全公司之一。 博客文章
研究人员写道,该活动采用了典型的网络钓鱼电子邮件,旨在欺骗受害者紧急回复,这意味着收件人的公司已被入侵,并坚持要求他们拨打邮件中包含的电话号码。 他们说,如果目标用户拨打该号码,他们就会联系到某个人,该人会将他们引导至恶意网站。
研究人员在帖子中写道:“从历史上看,回调活动运营商试图说服受害者安装商业 RAT 软件,以在网络上获得初步立足点。”
研究人员将这一活动与去年发现的一项名为“ 集市电话 由 巫师蜘蛛 threat group. That campaign used a similar tactic to try to spur people to make a phone call to opt-out of renewing an online service the recipient purportedly is currently using, Sophos researchers explained at the time.
If people made the call, a friendly person on the other side would give them a website address where the soon-to-be victim could supposedly unsubscribe from the service. However, that website instead led them to a malicious download.
CrowdStrike 研究人员表示,CrowdStrike 还发现了今年 XNUMX 月的一次活动,其中威胁行为者使用回调网络钓鱼活动安装 AteraRMM,然后使用 Cobalt Strike 来协助横向移动并部署其他恶意软件。
冒充值得信赖的合作伙伴
Researchers did not specify what other security companies were being impersonated in the campaign, which they identified on July 8, they said. In their blog post, they included a screenshot of the email sent to recipients impersonating CrowdStrike, which appears legitimate by using the company’s logo.
具体来说,该电子邮件通知目标,它来自其公司的“外包数据安全服务供应商”,并且在“您的工作站所属的网络段”上检测到“异常活动”。
据 CrowdStrike 称,该消息声称受害者的 IT 部门已收到通知,但需要他们参与对其个人工作站进行审核。 该电子邮件指示收件人拨打提供的号码,以便可以完成此操作,此时恶意活动就会发生。
尽管研究人员无法识别该活动中使用的恶意软件变体,但他们相信该变体很可能包括“用于初始访问的通用合法远程管理工具(RAT)、用于横向移动的现成渗透测试工具、以及勒索软件或数据勒索的部署,”他们写道。
传播勒索软件的可能性
研究人员还以“适度的信心”评估,该活动中的回调运营商“可能会使用勒索软件来通过其运营获利”,他们表示,“因为 2021 年 BazarCall 活动最终将导致 Conti勒索软件,“ 他们说。
研究人员写道:“这是第一个被识别的冒充网络安全实体的回调活动,鉴于网络漏洞的紧迫性,它具有更高的成功潜力。”
Further, they stressed that CrowdStrike would never contact customers in this way, and urged any of their customers receiving such emails to forward phishing emails to the address csirt@crowdstrike.com.
一位安全专业人士指出,这种保证至关重要,尤其是在网络犯罪分子变得如此擅长社交工程策略的情况下,这些策略对于毫无戒心的恶意活动目标来说似乎完全合法。
网络安全公司解决方案架构副总裁 Chris Clements 表示:“有效的网络安全意识培训最重要的方面之一是事先教育用户如何联系或不联系他们,以及可能会要求他们采取哪些信息或行动。” Cerberus前哨,在给 Threatpost 的电子邮件中写道。 “用户了解合法的内部或外部部门如何联系他们至关重要,这不仅仅是网络安全的问题。”
立即注册此点播活动:加入 Threatpost 和 Intel Security 的 Tom Garrison 参加 Threatpost 圆桌会议,讨论使利益相关者能够在动态威胁环境中保持领先的创新。 此外,了解 Intel Security 从他们与 Ponemon Institue 合作的最新研究中学到了什么。 在这里观看.
