Компания CrowdStrike, занимающаяся кибербезопасностью, подробно описывает фишинговые атаки, которые, как утверждается, исходят от компаний, занимающихся безопасностью, включая саму Crowdstrike.
Наглые киберпреступники теперь выдают себя за компании, занимающиеся кибербезопасностью, в фишинговых сообщениях, в которых утверждается, что получатель подвергся кибератаке и что они должны срочно отреагировать, чтобы защитить свою сеть.
Но если получатель ответит, он рискует открыть дверь хакерам и увидеть, как их системы скомпрометированы вредоносными программами, программами — вымогателями и другими опасными киберугрозами.
Фишинговая кампания была подробно описана исследователями из CrowdStrike , которая является одной из нескольких компаний, занимающихся кибербезопасностью, выдающих себя за киберпреступников, чтобы обманом заставить жертв позвонить на фальшивую линию помощи, которая затем побуждает жертву предоставить удаленный доступ к своей сети. CrowdStrike не раскрывает подробности о других компаниях, занимающихся кибербезопасностью, которые выдают себя за других.
В сообщении утверждается, что оно отправлено «аутсорсинговым поставщиком услуг по обеспечению безопасности данных вашей компании», и предполагается, что в сети были обнаружены «аномальная активность» и «потенциальный взлом» в рамках «ежедневного сетевого аудита».
Далее предполагается, что поставщик услуг кибербезопасности уже имеет дело с командой информационной безопасности компании, но им также было сказано связаться с сотрудниками по поводу их собственных компьютеров и что «крайне необходимо», чтобы лицо, получающее электронное письмо, ответило на сообщение.
Человеку, получившему электронное письмо, сообщается номер дела об инциденте, и ему предлагается позвонить по определенному номеру телефона, чтобы организовать аудит. Пример, подробно описанный CrowdStrike, также имеет точный брендинг.
CrowdStrike описывает это как «фишинг с обратным вызовом» (callback phishing), потому что, когда жертва звонит по номеру, она подключается к оператору, который пытается убедить ее установить инструменты удаленного администрирования (RAT) для получения доступа к сети.
Хотя жертва может полагать, что RAT — инструмент, используемый многими ИТ-командами в законных целях — устанавливается для борьбы с инфекцией, на самом деле они просто невольно позволяют киберпреступнику получить первоначальный доступ к сети для дальнейшего использования.
«Это первая идентифицированная кампания обратного вызова, выдающая себя за объекты кибербезопасности, и она имеет более высокий потенциальный успех, учитывая срочный характер кибератак», — говорится в сообщении CrowdStrike в блоге .
Исследователи не смогли определить, что именно делают преступники, стоящие за этой конкретной социальной инженерией и фишинговой кампанией, но они отмечают, что аналогичная кампания, идентифицированная в марте этого года, установила программное обеспечение для удаленного доступа, чтобы обеспечить боковое перемещение по сетям и установить вредоносное ПО.
Вероятной конечной целью киберпреступников, стоящих за этими фишинговыми атаками, является монетизация доступа, который они обманом предоставили жертвам, возможно, с помощью атак программ-вымогателей. Эти атаки могут быть совершены киберпреступниками, которые сами шифруют сеть с помощью программ-вымогателей, или они могут продать доступ к зараженной сети группам программ-вымогателей.
«CrowdStrike никогда не будет связываться с клиентами таким образом», — заявила компания, и всем, кто получит подобное электронное письмо, настоятельно рекомендуется направить его своему поставщику услуг кибербезопасности для расследования.
Перевод статьи «Brazen crooks are now posing as cybersecurity companies to trick you into installing malware»