- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 21ч 58м
- Сделки
- 251
- Нарушения
- 0 / 0
В обнаруженной кампании (атака с обратным звонком) злоумышленники используют легитимные инструменты управления системой для прямого взаимодействия с компьютером жертвы, чтобы извлечь данные. Поскольку это доверенные инструменты, они не обнаруживаются антивирусными продуктами.
Исследователи также ожидают роста фишинговых атак с обратным звонком из-за низкого риска обнаружения и возможности быстрой монетизации. По словам экспертов, кампания длится несколько месяцев и активно развивается.
Цепочка атак начинается с фишингового электронного письма на корпоративный email-адрес с прикрепленным счетом-фактурой в формате PDF, указывающим, что с кредитной карты получателя была снята плата за услугу (обычно на сумму менее $1000). Фишинговое письмо персонализировано для получателя, не содержит вредоносного контента и отправляется с использованием законной службы электронной почты. Это позволяет киберпреступникам обойти системы защиты электронной почты.
В счете указывается телефон, по которому звонит получатель и попадает в колл-центр, контролируемый злоумышленником. В этот момент подключается реальный сотрудник колл-центра. Под предлогом отмены подписки агент помогает жертве загрузить инструмент удаленного доступа, позволяющий злоумышленнику управлять компьютером жертвы.
Как только жертва подключается к сеансу, злоумышленник получает контроль над клавиатурой и мышью, доступ к буферу обмена. При этом хакер выключает экран, чтобы скрыть свои действия.
Как только злоумышленник выключает экран, он устанавливает программу удаленной поддержки Syncro для сохранения постоянства в системе и файловые менеджеры с открытым исходным кодом Rclone или WinSCP для скрытной эксфильтрации конфиденциальных данных.
После того, как данные украдены, злоумышленник отправляет электронное письмо, в котором требует, чтобы жертва заплатила выкуп, иначе киберпреступник опубликует украденную информацию. Если жертва не устанавливает контакт с нападающими, они выдвигают более агрессивные требования. В конечном итоге злоумышленники будут угрожать связаться с клиентами жертв и клиентами, идентифицированными с помощью украденных данных, чтобы усилить давление с целью соблюдения требований.
