本文來(lái)自嘶吼網(wǎng),作者/布加迪。
回?fù)芫W(wǎng)絡(luò)釣魚(yú)團(tuán)伙已經(jīng)改變了其社會(huì)工程方法,將原來(lái)的虛假訂閱誘餌繼續(xù)用于攻擊的第一階段,但隨后轉(zhuǎn)而假裝幫助受害者處理感染或黑客攻擊。
得逞的攻擊使用惡意軟件加載程序感染受害者,該加載程序會(huì)投放另外的攻擊載荷,比如遠(yuǎn)程訪問(wèn)木馬、間諜軟件和勒索軟件。
回?fù)芫W(wǎng)絡(luò)釣魚(yú)攻擊是偽裝成高價(jià)訂閱的電子郵件活動(dòng),旨在讓收件人混淆,因?yàn)樗麄儚奈从嗛嗊^(guò)這些服務(wù)。
電子郵件中附有一個(gè)電話號(hào)碼,收件人可以撥打該號(hào)碼,以了解有關(guān)此“訂閱”的更多信息并取消它。然而這會(huì)導(dǎo)致社會(huì)工程攻擊,從而在受害者的設(shè)備上部署惡意軟件,并可能引發(fā)全面的勒索軟件攻擊。
據(jù)Trellix的一份新報(bào)告顯示,最新的活動(dòng)針對(duì)美國(guó)、加拿大、英國(guó)、印度、中國(guó)和日本的用戶。
圖1.顯示最近的BazarCall活動(dòng)目標(biāo)的熱圖(來(lái)源:Trellix)
這一切都始于BazarCall
回?fù)芫W(wǎng)絡(luò)釣魚(yú)攻擊在2021年3月首次以“BazarCall”的名義出現(xiàn),威脅分子開(kāi)始發(fā)送電子郵件,佯稱是訂閱流媒體服務(wù)、軟件產(chǎn)品或醫(yī)療服務(wù)公司。如果收件人想取消訂閱,可撥打提供的電話號(hào)碼以便聯(lián)系。
圖2.原始的BazarCall回?fù)芫W(wǎng)絡(luò)釣魚(yú)電子郵件
收件人撥打該號(hào)碼后,威脅分子就會(huì)逐步引導(dǎo)他們完成一系列步驟,最終導(dǎo)致下載惡意Excel文件,該文件會(huì)安裝BazarLoader惡意軟件。
BazarLoader讓攻擊者可以遠(yuǎn)程訪問(wèn)受感染的設(shè)備,并提供對(duì)公司網(wǎng)絡(luò)的初始訪問(wèn),最終導(dǎo)致Ryuk或Conti勒索軟件攻擊。
久而久之,回?fù)芫W(wǎng)絡(luò)釣魚(yú)攻擊已成為一種重大威脅,因?yàn)樗鼈儸F(xiàn)在被眾多黑客組織使用,包括Silent Ransom Group、Quantum和Royal勒索軟件/勒索團(tuán)伙。
新的社會(huì)工程伎倆
在最近的回?fù)芫W(wǎng)絡(luò)釣魚(yú)活動(dòng)中,社會(huì)工程伎倆已發(fā)生了變化,不過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件中的誘餌保持不變,這個(gè)誘餌就是發(fā)給Geek Squad、諾頓、邁克菲、PayPal或微軟的付款發(fā)票。
圖3.Geek Squad回?fù)芫W(wǎng)絡(luò)釣魚(yú)電子郵件示例(來(lái)源:BleepingComputer)
一旦收件人通過(guò)提供的號(hào)碼致電詐騙者,他們會(huì)被要求提供發(fā)票詳細(xì)信息進(jìn)行“驗(yàn)證”。接下來(lái),詐騙者聲明系統(tǒng)中沒(méi)有匹配的信息,聲稱受害者收到的是垃圾郵件。
然后,所謂的客戶服務(wù)代理會(huì)提醒受害者:垃圾郵件可能已導(dǎo)致他們的機(jī)器感染了惡意軟件,提議為受害者介紹技術(shù)專家。
一會(huì)兒后,另一個(gè)騙子打電話給受害者,聲稱幫助他們處理感染,并將他們引導(dǎo)到一個(gè)網(wǎng)站,在那里受害者下載偽裝成殺毒軟件的惡意軟件。
以PayPal為主題的網(wǎng)絡(luò)釣魚(yú)攻擊中使用了另一種變體,即詢問(wèn)受害者是否使用PayPal,然后檢查他們的電子郵件是否受到攻擊,聲稱他們的帳戶已被分布在全球各地的八臺(tái)設(shè)備訪問(wèn)。
在安全軟件訂閱續(xù)訂活動(dòng)中,詐騙者聲稱預(yù)裝在受害者筆記本電腦上的安全產(chǎn)品已過(guò)期失效,自動(dòng)續(xù)訂以延長(zhǎng)保護(hù)。
最終,詐騙者將受害者引導(dǎo)至取消和退款門戶網(wǎng)站,這同樣是投放惡意軟件的網(wǎng)站。
圖4.最近BazarCall活動(dòng)中使用的各個(gè)網(wǎng)站(來(lái)源:Trellix)
所有這些活動(dòng)的結(jié)果是說(shuō)服受害者下載惡意軟件,而惡意軟件可能是BazarLoader、遠(yuǎn)程訪問(wèn)木馬、Cobalt Strike或其他某種遠(yuǎn)程訪問(wèn)軟件,具體取決于威脅分子。
遠(yuǎn)程控制設(shè)備
Trellix表示,最近這些活動(dòng)中的大多數(shù)在推送一個(gè)名為“support.Client.exe”的ClickOnce可執(zhí)行文件,該可執(zhí)行文件在啟動(dòng)后會(huì)安裝ScreenConnect遠(yuǎn)程訪問(wèn)工具。
Trellix解釋道,攻擊者還可以顯示虛假的鎖屏,使受害者無(wú)法訪問(wèn)系統(tǒng),攻擊者可以在受害者不知道的情況下執(zhí)行任務(wù)。
在安全分析師看到的一些情況下,詐騙者打開(kāi)了虛假的取消表單,要求受害者填寫(xiě)個(gè)人詳細(xì)信息。最后,為了獲得退款,受害者被要求登錄到他們的銀行賬戶,一旦上當(dāng)受騙,就向詐騙者匯款。
Trellix的報(bào)告解釋,這是通過(guò)下面這一波操作來(lái)實(shí)現(xiàn)的:先鎖定受害者的屏幕,并發(fā)起轉(zhuǎn)賬請(qǐng)求,然后在交易需要OTP(一次性密碼)或二級(jí)密碼時(shí)解鎖屏幕。受害者還會(huì)看到一個(gè)虛假的退款成功頁(yè)面,好讓他相信已收到退款。詐騙者還可能向受害者發(fā)送一條短信,附有款已收到的虛假信息,這個(gè)花招防止受害者懷疑任何欺詐行為。
當(dāng)然,金錢損失只是受感染用戶可能面臨的問(wèn)題之一,因?yàn)橥{分子可以隨時(shí)投放更多更惡劣的惡意軟件,長(zhǎng)期監(jiān)視用戶,并竊取高度敏感的信息。
本文翻譯自:https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-evolve-their-social-engineering-tactics/