ΑρχικήsecurityΧάκερς διανέμουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs

Χάκερς διανέμουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs

Η Microsoft προειδοποιεί τις επιχειρήσεις για χάκερς που χρησιμοποιούν τις φόρμες επικοινωνίας ιστοσελίδων εταιρειών, για να διανείμουν σε υπαλλήλους το info-stealing banking trojan “IcedID” σε email με Google URLs. Οι φόρμες «επικοινωνήστε μαζί μας» είναι μια ανοιχτή πόρτα στο Διαδίκτυο και οι εγκληματίες άρχισαν πρόσφατα να τις χρησιμοποιούν για να προσεγγίσουν εργαζομένους που λαμβάνουν αιτήματα επικοινωνίας από το κοινό. Σε αυτή την κακόβουλη δραστηριότητα, οι απατεώνες χρησιμοποιούν τις φόρμες επικοινωνίας για να στείλουν σε υπαλλήλους νόμιμα Google URLs που ζητούν από τους χρήστες να συνδεθούν με το Google username και password τους.

Η Microsoft θεώρησε ότι πρόκειται για μία πολύ σοβαρή απειλή, γεγονός που την οδήγησε να αναφέρει τις επιθέσεις στις ομάδες ασφαλείας της Google, προκειμένου να τις προειδοποιήσει ότι οι κυβερνοεγκληματίες χρησιμοποιούν νόμιμα Google URLs για να διανείμουν malware. Τα Google URLs είναι χρήσιμα για τους επιτιθέμενους, επειδή παρακάμπτουν τα φίλτρα ασφαλείας email. Οι κακόβουλοι παράγοντες φαίνεται να έχουν επίσης παρακάμψει τα CAPTCHA challenges που χρησιμοποιούνται για να ελέγξουν εάν ο χρήστης που υποβάλει αίτημα επικοινωνίας είναι άνθρωπος ή όχι.

Διαβάστε επίσης: Joker malware: Μόλυνε πάνω από 500.000 Android συσκευές της Huawei!

Χάκερς διαδίδουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs
Χάκερς διαδίδουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs

Συγκεκριμένα, η ομάδα του Microsoft 365 Defender Threat Intelligence ανέφερε τα ακόλουθα: «Οι επιτιθέμενοι καταχρώνται νόμιμη υποδομή, όπως οι φόρμες επικοινωνίας των ιστότοπων, για να παρακάμψουν τις προστασίες, καθιστώντας αυτήν την απειλή δύσκολα ανιχνεύσιμη. Επιπλέον, οι εισβολείς χρησιμοποιούν νόμιμα URLs – σε αυτήν την περίπτωση Google URLs – που ζητούν από τους χρήστες να συνδεθούν με τα Google credentials τους.»

Η Microsoft ανησυχεί για την τεχνική που χρησιμοποιείται και προς το παρόν έχει εντοπίσει εγκληματίες που χρησιμοποιούν τα URLs σε email, έχοντας ως στόχο να διανείμουν το IcedID malware. Αλλά θα μπορούσε εξίσου εύκολα να χρησιμοποιηθεί για την διανομή κι άλλων malware.

Το IcedID είναι ένα banking trojan και infostealer («κλέφτης» πληροφοριών) που μπορεί να χρησιμοποιηθεί ως σημείο εισόδου για επακόλουθες επιθέσεις, όπως το ransomware που λειτουργεί manually, για στόχους υψηλής αξίας. Οι ransomware επιθέσεις που λειτουργούν από τον άνθρωπο είναι όλο και πιο συχνές και απαιτούν από τον εισβολέα να κάθεται στο keyboard και να ενορχηστρώνει την επίθεση, σε αντίθεση με μια αυτοματοποιημένη επίθεση.

Χάκερς διαδίδουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs
Χάκερς διαδίδουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs

Δείτε ακόμη: LinkedIn: Χάκερς κρύβουν malware σε fake προσφορές εργασίας!

Πρόκειται για μία επίθεση που είναι δύσκολο να ανιχνευτεί από εταιρείες και κυβερνητικούς φορείς, καθώς το email φτάνει στους υπαλλήλους από τη δική τους φόρμα επικοινωνίας και τα email marketing συστήματα. Δεδομένου ότι τα emails προέρχονται από τη φόρμα επικοινωνίας του παραλήπτη στον ιστότοπό τους, τα email templates ταιριάζουν με αυτά που θα περίμενε κανείς από μια πραγματική αλληλεπίδραση ή ερώτηση πελάτη.

Οι εισβολείς χρησιμοποιούν γλώσσα που ασκεί πίεση στον υπάλληλο να ανταποκριθεί, όπως ψευδείς ισχυρισμούς ότι ο ιστότοπος – στόχος χρησιμοποιεί εικόνες που προστατεύονται από πνευματικά δικαιώματα. Το email περιέχει ένα link προς μια σελίδα sites.google.com, όπου ο υπάλληλος προορίζεται να προβάλει αυτές τις εικόνες.

Χάκερς διαδίδουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs
Χάκερς διαδίδουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs

Πρόταση: Janeleiro: Το νέο banking trojan που στοχεύει οργανισμούς και κυβερνήσεις

Εάν ο υπάλληλος κάνει τη δουλειά του και διερευνήσει αυτόν τον ισχυρισμό συνδεόμενος στον ιστότοπο, η σελίδα sites.google.com κατεβάζει αυτόματα ένα αρχείο ZIP με ένα αρχείο JavaScript, το οποίο με τη σειρά του κατεβάζει το IcedID malware ως αρχείο .DAT. Επίσης, κατεβάζει το Cobalt Strike, το οποίο επιτρέπει στον εισβολέα να ελέγξει μία συσκευή μέσω Ίντερνετ.

Πηγή πληροφοριών: zdnet.com

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS