Uma campanha recente de phishing de chamadas de volta está imitando empresas líderes em segurança para tentar enganar possíveis vítimas a fazer uma ligação que lhes dirá para baixar malware.
Os investigadores da CrowdStrike Intelligence descobriram a campanha, pois a CrowdStrike é uma das várias empresas de segurança que foram representadas, de acordo com um post recente.
A campanha emprega um e-mail de phishing típico com o objetivo de enganar suas vítimas a responder com pressa – alegando que a organização do destinatário foi violada e instando para que eles liguem para o número de telefone incluído na mensagem, de acordo com os pesquisadores. Caso alguém desses selecionados ligue para esse número, serão direcionados para um site de intenção maliciosa, disseram eles.
Historicamente, os operadores de campanha de callback buscam persuadir as vítimas a instalar o programa de acesso remoto comercial para obter uma base inicial na rede, de acordo com o que os pesquisadores mencionam em seu artigo.
Os cientistas examinaram uma campanha semelhante ao BazarCall, que foi divulgado no ano passado pelo grupo de ameaça Wizard Spider. A campanha usou uma abordagem análoga para tentar persuadir as pessoas a realizarem uma ligação, com o intuito de não renovar um serviço on-line que o destinatário supostamente estava usando, conforme especificado pela Sophos em seu estudo naquela época.
Se as pessoas tivessem telefonado, alguém amigável de lá teria lhes fornecido o endereço de um site onde a vítima poderia, em princípio, desativar a assinatura. Porém, essa página web os levou para instalar um software malicioso.
Em março deste ano, a CrowdStrike detectou uma campanha nos quais os atores de ameaça usaram phishing por callback para instalar o AteraRMM, seguido pelo Cobalt Strike para auxiliar com o movimento lateral e implantar mais malware, segundo os pesquisadores da CrowdStrike.
É absolutamente necessário encontrar um parceiro de confiança para alcançar o sucesso nos negócios.
Os investigadores não especificaram quais outras organizações de segurança foram alvo da campanha, que foi identificada em 8 de julho. Em seu artigo de blog, eles disponibilizaram uma imagem do e-mail enviado para destinatários representando CrowdStrike, que se parecia autêntico usando o logotipo da companhia.
Especificamente, o e-mail notifica o destinatário de que vem de um “provedor de serviços de segurança de dados terceirizado” da sua empresa e que “atividade incomum” foi notada no “setor da rede no qual a estação de trabalho está incluída”.
O Departamento de TI da vítima foi alertado, mas a presença do destinatário é necessária para realizar uma auditoria em seu computador pessoal, de acordo com o CrowdStrike. O e-mail pede que o destinatário ligue para o número fornecido quando suspeitar de atividade maliciosa.
Embora os cientistas não tenham conseguido determinar qual versão de malware está sendo empregada na campanha, eles presumem que ela incluirá “legítimas ferramentas de administração remota (RATs) para obter entrada, ferramentas de teste de penetração comercialmente disponíveis para se movimentar lateralmente e a implantação de ransomware ou extorsão de dados”, eles escreveram.
Capacidade de disseminar ransomware
Os especialistas calcularam com “confiança moderada” que os operadores da campanha “BazarCall de 2021” empregarão ransomware para obter lucro, já que acreditam que isto resultará no uso do “Conti”.
Esta é a primeira campanha de retorno de chamada camuflada como se fosse de entidades de segurança cibernética e tem grande chance de êxito devido à premente necessidade de proteção contra invasões cibernéticas, de acordo com os estudiosos.
Além disso, eles enfatizaram que a CrowdStrike jamais entrará em contato com seus clientes dessa maneira, e pediram que qualquer um que receba esses e-mails os envie para csirt@crowdstrike.com.
Esta proteção é essencial, principalmente, pois os criminosos cibernéticos estão tornando-se muito hábeis em técnicas de engenharia social que parecem inteiramente válidas a vítimas desinformadas de ações maliciosas, disse um especialista em segurança.
Educar os usuários sobre como eles serão abordados e o que será esperado deles é uma das principais áreas de atenção no processo de treinamento de conscientização em segurança cibernética, segundo o vice-presidente de arquitetura de soluções da Cerberus Sentinel, Chris Clements. É essencial que os usuários compreendam como eles podem ser contatados por departamentos internos ou externos autênticos; a segurança cibernética é apenas uma parte disso.
Inscreva-se agora neste evento online: junte-se à Threatpost e ao Tom Garrison da Intel Security em uma sessão de debate promovida pela Threatpost, abordando inovação e permitindo que as partes interessadas fiquem à frente de um cenário de ameaças em mudança. Além disso, descubra o que a Intel Security descobriu em seu mais recente estudo em parceria com o Ponemon Institute. Aproveite.
Parafraseado: Divulgue este artigo.
- Atentamente, estou solicitando um favor.
- Malware é um programa perigoso que tem o objetivo de roubar dados confidenciais.
- A proteção da Web é uma questão de suma importância para todos os usuários da rede. É essencial que todos adotem medidas para assegurar que os seus dados pessoais e informações sejam conservados com segurança.
