Gli attacchi di callback phishing evolvono le loro tattiche di ingegneria sociale
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 10 Ottobre 2022
Tags: #sicurezza, #phishing, #privacy, #malware, #spyware, #ransomware, #trojan, #bazarcall
Tags: #sicurezza, #phishing, #privacy, #malware, #spyware, #ransomware, #trojan, #bazarcall
Gli attacchi di callback phishing evolvono le loro tattiche di ingegneria sociale
Attacco di phishing di richiamata
Le operazioni di callback di phishing hanno evoluto i loro metodi di ingegneria sociale, mantenendo vecchi abbonamenti falsi "esca" per la prima fase dell'attacco, ma passando a fingere di aiutare le vittime a gestire un'infezione o un hack.
Gli attacchi riusciti infettano le vittime con un caricatore di malware che rilascia payload aggiuntivi come trojan di accesso remoto, spyware e ransomware.
Gli attacchi di callback phishing sono campagne e-mail che fingono di essere abbonamenti costosi progettati per creare confusione da parte del destinatario poiché non si è mai abbonato a questi servizi.
Racchiuso nell'e-mail c'è un numero di telefono che il destinatario può chiamare per saperne di più su questa "iscrizione" e cancellarla. Tuttavia, questo porta ad un attacco di ingegneria sociale che distribuisce malware sui dispositivi delle vittime e, potenzialmente, attacchi ransomware in piena regola.
Secondo un nuovo rapporto di Trellix, le ultime campagne si rivolgono a utenti negli Stati Uniti, Canada, Regno Unito, India, Cina e Giappone.
Tutto è iniziato con BazarCall
Gli attacchi di callback di phishing sono apparsi per la prima volta nel marzo 2021 con il nome "BazarCall", in cui gli attori delle minacce hanno iniziato a inviare e-mail fingendo di essere un abbonamento a un servizio di streaming, un prodotto software o una società di servizi medici, fornendo un numero di telefono da chiamare se desiderano annullare l'acquisto.
Quando un destinatario ha chiamato il numero, gli attori della minaccia li hanno guidati attraverso una serie di passaggi che hanno portato al download di un file Excel dannoso che avrebbe installato il malware BazarLoader.
BazarLoader fornirebbe l'accesso remoto a un dispositivo infetto, fornendo l'accesso iniziale alle reti aziendali e portando infine ad attacchi ransomware Ryuk o Conti.
Nel corso del tempo, gli attacchi di callback di phishing sono emersi come una minaccia significativa poiché ora vengono utilizzati da numerosi gruppi di hacker, tra cui Silent Ransom Group, Quantum e le operazioni di ransomware/estorsione Royal.
Nuovi trucchi di ingegneria sociale
Il processo di ingegneria sociale è cambiato nelle recenti campagne di callback di phishing, sebbene l'esca nell'e-mail di phishing rimanga la stessa, una fattura per un pagamento effettuato a Geek Squad, Norton, McAfee, PayPal o Microsoft.
Una volta che il destinatario chiama il truffatore al numero fornito, gli viene richiesto di fornire i dettagli di fatturazione per la "verifica". Successivamente, il truffatore dichiara che non ci sono voci corrispondenti nel sistema e che l'e-mail ricevuta dalla vittima era spam.
Quindi, il presunto agente del servizio clienti avverte la vittima che l'e-mail di spam potrebbe aver provocato un'infezione da malware sul suo computer, proponendosi di metterla in contatto con uno specialista tecnico.
Dopo un po', un altro truffatore chiama la vittima per aiutarla con l'infezione e la indirizza a un sito Web in cui scarica malware mascherato da software antivirus.
Un'altra variante utilizzata negli attacchi di phishing a tema PayPal è chiedere alla vittima se utilizza PayPal e quindi presumibilmente controllare la propria e-mail per verificare che non sia stata compromessa, sostenendo che al proprio account hanno avuto accesso otto dispositivi sparsi in varie località del mondo.
Nelle campagne di rinnovo dell'abbonamento al software di sicurezza, i truffatori affermano che il prodotto di sicurezza preinstallato con il laptop della vittima è scaduto ed è stato rinnovato automaticamente per estendere la protezione.
Alla fine, il truffatore indirizza la vittima a un portale di cancellazione e rimborso, che è, ancora una volta, il sito di rilascio del malware.
Il risultato di tutte queste campagne è convincere la vittima a scaricare malware, che potrebbe essere BazarLoader, trojan di accesso remoto, Cobalt Strike o qualche altro software di accesso remoto, a seconda dell'attore della minaccia.
Prendere il controllo remoto dei dispositivi
Trellix afferma che la maggior parte di queste recenti campagne sta spingendo un eseguibile ClickOnce chiamato "support.Client.exe", che, una volta lanciato, installa lo strumento di accesso remoto ScreenConnect.
"L'attaccante può anche mostrare una falsa schermata di blocco e rendere il sistema inaccessibile alla vittima, in cui l'attaccante è in grado di eseguire attività senza che la vittima ne sia a conoscenza", spiega Trellix.
In alcuni casi visti dagli analisti della sicurezza, i truffatori hanno aperto falsi moduli di cancellazione e hanno chiesto alle vittime di compilarli con i loro dati personali.
Infine, per ricevere il rimborso, la vittima è invitata ad accedere al proprio conto bancario, dove viene invece indotta con l'inganno a inviare denaro al truffatore.
"Ciò si ottiene bloccando lo schermo della vittima e avviando una richiesta di trasferimento e quindi sbloccando lo schermo quando la transazione richiede una OTP (One Time Password) o una password secondaria", spiega il rapporto Trellix.
"La vittima viene anche presentata con una falsa pagina di rimborso riuscito per convincerla a credere di aver ricevuto il rimborso. Il truffatore può anche inviare un SMS alla vittima con un messaggio di denaro falso ricevuto come tattica aggiuntiva per impedire alla vittima di sospettare qualsiasi frode".
Naturalmente, la perdita di denaro è solo uno dei problemi che gli utenti infetti possono affrontare, poiché gli attori delle minacce possono rilasciare malware aggiuntivo e dannoso in qualsiasi momento, spiandoli a lungo termine e rubando informazioni altamente sensibili.