Geri dönme kimlik avı operasyonları, sosyal mühendislik yöntemlerini geliştirdi, eski sahte abonelikleri saldırının ilk aşamasına cazip tuttu, ancak mağdurların bir enfeksiyon veya hack ile başa çıkmalarına yardımcı olacak gibi davrandı.
Başarılı saldırılar, kurbanları uzaktan erişim truva atları, casus yazılım ve fidye yazılımı gibi ek yükleri bırakan bir kötü amaçlı yazılım yükleyicisi ile bulaşır.
Geri çağrı kimlik avı saldırıları, bu hizmetlere asla abone olmadıkları için alıcı tarafından karışıklığa yol açacak şekilde tasarlanmış yüksek fiyatlı abonelikler gibi davranan e-posta kampanyalarıdır.
E -postaya eklenen, alıcının bu "abonelik" hakkında daha fazla bilgi edinmek ve iptal etmek için arayabileceği bir telefon numarasıdır. Bununla birlikte, bu, mağdurların cihazlarına ve potansiyel olarak tam gelişmiş fidye yazılımı saldırılarına kötü amaçlı yazılım dağıtan bir sosyal mühendislik saldırısına yol açar.
Trellix'in yeni bir raporuna göre, en son kampanyalar ABD, Kanada, İngiltere, Hindistan, Çin ve Japonya'daki kullanıcıları hedefliyor.
Geri çağrı kimlik avı saldırıları ilk olarak Mart 2021'de "Bazarcall" adı altında, tehdit aktörlerinin bir akış hizmetine, yazılım ürününe veya tıbbi hizmetler şirketine abonelik gibi davranarak e -postalar göndermeye başladığı ve iptal etmek istedikleri takdirde arayacak bir telefon numarası vermeye başladı. satın alma.
Bir alıcı sayı olarak adlandırdığında, tehdit aktörleri, Bazarloader kötü amaçlı yazılımlarını yükleyecek kötü amaçlı bir Excel dosyası indirilmesine yol açan bir dizi adımdan geçti.
Bazarloader, kurumsal ağlara ilk erişim sağlayarak ve sonunda Ryuk veya Conti fidye yazılımı saldırılarına yol açan enfekte bir cihaza uzaktan erişim sağlayacaktır.
Zamanla geri arama kimlik avı saldırıları, sessiz fidye grubu, kuantum ve kraliyet fidye yazılımı /gasp operasyonları da dahil olmak üzere çok sayıda hack grubu tarafından kullanıldıkları için önemli bir tehdit olarak ortaya çıkmıştır.
Sosyal mühendislik süreci son geri arama kimlik avı kampanyalarında değişti, ancak kimlik avı e -postasındaki yem aynı kalsa da, Geek Squad, Norton, McAfee, PayPal veya Microsoft'a yapılan bir ödeme faturası.
Alıcı, sağlanan numarada dolandırıcıyı aradığında, “doğrulama” için faturalandırma ayrıntılarını vermeleri istenir. Daha sonra, dolandırıcı sistemde eşleşen giriş olmadığını ve kurbanın aldığı e -postanın spam olduğunu beyan etti.
Ardından, sözde müşteri hizmetleri acentesi, kurbanı, spam e -postasının makinelerinde kötü amaçlı yazılım enfeksiyonu ile sonuçlanabileceği ve bunları bir teknik uzmanla bağlamayı teklif ettiği konusunda uyarır.
Bir süre sonra, farklı bir dolandırıcı kurbanı enfeksiyon konusunda onlara yardımcı olmaya çağırır ve onları virüs yazılımı olarak maskelenmiş kötü amaçlı yazılım indirdikleri bir web sitesine yönlendirir.
PayPal temalı kimlik avı saldırılarında kullanılan bir başka varyant, kurbana PayPal kullanıp kullanmadıklarını sormak ve daha sonra e-postalarını uzlaşma için kontrol ettikleri iddia etmektir ve hesaplarına dünya çapında çeşitli yerlere yayılmış sekiz cihaz tarafından erişildiğini iddia eder.
Güvenlik yazılımı aboneliği yenileme kampanyalarında, dolandırıcılar güvenlik ürününün kurbanın dizüstü bilgisayarıyla önceden yüklendiğini ve korumayı genişletmek için otomatik olarak yenilendiğini iddia ediyor.
Sonunda, dolandırıcı kurbanı bir iptal ve geri ödeme portalına yönlendirir, bu da yine kötü amaçlı yazılım bırakma sitesine yönlendirir.
Tüm bu kampanyaların sonucu, kurbanı, tehdit aktörüne bağlı olarak Bazarloader, uzaktan erişim truva atları, kobalt grevi veya başka bir uzaktan erişim yazılımı olabilecek kötü amaçlı yazılımları indirmeye ikna etmektir.
Trellix, bu son kampanyaların çoğunun, başlatıldığında ScreAnconnect Uzaktan Erişim aracını yükleyen 'Support.client.exe' adlı bir Clickonce yürütülebilir dosyasını ittiğini söylüyor.
Trellix, "Saldırgan ayrıca sahte bir kilit ekranı gösterebilir ve sistemi kurban için erişilemez hale getirebilir, burada saldırganın kurbanın farkında olmadan görevleri yerine getirebilir."
Güvenlik analistleri tarafından görülen bazı durumlarda, dolandırıcılar sahte iptal formları açtı ve kurbanlardan onları kişisel bilgileriyle doldurmalarını istedi.
Son olarak, geri ödemeyi almak için, kurbanın banka hesaplarına giriş yapmaları istenir ve bunun yerine dolandırıcıya para göndermek için kandırılır.
Trellix raporu, "Bu, kurbanın ekranını kilitleyerek ve bir transfer isteği başlatarak ve daha sonra işlem bir OTP (bir kez şifre) veya ikincil bir şifre gerektirdiğinde ekranın kilidini açarak elde edilir."
"Mağdur ayrıca, geri ödeme aldıklarına inanmaya ikna etmek için sahte bir geri ödeme başarılı bir sayfa sunuluyor. Durucu, kurbanın şüphelenmesini önlemek için ek bir taktik olarak sahte bir parayla kurbana bir SMS gönderebilir. herhangi bir sahtekarlık. "
Tabii ki, para kaybetmek, enfekte kullanıcıların karşılaşabileceği sorunlardan sadece biridir, çünkü tehdit aktörleri herhangi bir zamanda ek, nastier kötü amaçlı yazılım bırakabilir, uzun vadeli gözetleme ve son derece hassas bilgiler çalabilir.
Hackerlar Buzlu Kireçli Yazılım Saldırılarının Arkasındaki Teslimat Taktiklerini Çeşitlendirin
Lazarus Hackers, Crypto.com iş teklifleri aracılığıyla macOS kötü amaçlı yazılımları bırakın
Bilgisayar korsanları Putty SSH müşterisini Backdoor Media Company'ye Trojanize
FBI: Bilgisayar korsanları sağlık ödeme işlemcilerinden milyonlarca çalıyor
Fidye yazılımı çeteleri 'geri arama' sosyal mühendislik saldırılarına geçiyor
Kaynak: Bleeping Computer