«Служба безопасности банка» стала более продвинутой и незаметной.
Исследователи кибербезопасности из Palo Alto Network Unit 42 Для просмотра ссылки Войди
В обнаруженной кампании ( Для просмотра ссылки Войди
Исследователи также ожидают роста фишинговых атак с обратным звонком из-за низкого риска обнаружения и возможности быстрой монетизации. По словам экспертов, кампания длится несколько месяцев и активно развивается.
Цепочка атак начинается с фишингового электронного письма на корпоративный email-адрес с прикрепленным счетом-фактурой в формате PDF, указывающим, что с кредитной карты получателя была снята плата за услугу (обычно на сумму менее $1000). Фишинговое письмо персонализировано для получателя, не содержит вредоносного контента и отправляется с использованием законной службы электронной почты. Это позволяет киберпреступникам обойти системы защиты электронной почты.
Пример фишингового письма
В счете указывается телефон, по которому звонит получатель и попадает в колл-центр, контролируемый злоумышленником. В этот момент подключается реальный сотрудник колл-центра. Под предлогом отмены подписки агент помогает жертве загрузить инструмент удаленного доступа, позволяющий злоумышленнику управлять компьютером жертвы.
В ходе кампании приходит письмо со ссылкой для установления удаленного соединения
Как только жертва подключается к сеансу, злоумышленник получает контроль над клавиатурой и мышью, доступ к буферу обмена. При этом хакер выключает экран, чтобы скрыть свои действия.
Как только злоумышленник выключает экран, он устанавливает программу удаленной поддержки Syncro для сохранения постоянства в системе и файловые менеджеры с открытым исходным кодом Rclone или WinSCP для скрытной эксфильтрации конфиденциальных данных.
После того, как данные украдены, злоумышленник отправляет электронное письмо, в котором требует, чтобы жертва заплатила выкуп, иначе киберпреступник опубликует украденную информацию. Если жертва не устанавливает контакт с нападающими, они выдвигают более агрессивные требования. В конечном итоге злоумышленники будут угрожать связаться с клиентами жертв и клиентами, идентифицированными с помощью украденных данных, чтобы усилить давление с целью соблюдения требований.
- Источник новости
- https://www.securitylab.ru/news/534900.php