Μια νέα ιδιαίτερη phishing εκστρατεία κάνει τα θύματα να πιστέψουν ότι έχουν εγγραφεί σε μια streaming υπηρεσία ταινιών για να τα αναγκάσουν να καλέσουν έναν αριθμό τηλεφώνου για να ακυρώσουν τη συνδρομή. Στο τηλέφωνο απαντά ένας υποτιθέμενος εκπρόσωπος εξυπηρέτησης πελατών, που ενημερώνει τα θύματα για τη διαδικασία ακύρωσης. Στην πραγματικότητα, όμως, τα καθοδηγεί ώστε να μολύνουν τον υπολογιστή τους με το BazaLoader malware.
Δείτε επίσης: FBI: Χάκερς πλαστογραφούν την Truist Bank σε spear-phishing εκστρατεία!
Το BazaLoader δημιουργεί ένα backdoor στους Windows υπολογιστές που μπορεί να χρησιμοποιηθεί ως αρχικό σημείο πρόσβασης για την παράδοση πρόσθετων malware (ακόμα και ransomware). Το Ryuk ransomware, για παράδειγμα, παραδίδεται συνήθως μέσω του BazaLoader.
Οι ερευνητές της Proofpoint ανέλυσαν την πρόσφατη εκστρατεία παράδοσης του BazaLoader και διαπίστωσαν ότι το πρώτο στάδιο της εκστρατείας περιλαμβάνει τη διανομή δεκάδων χιλιάδων phishing emails που ισχυρίζονται ότι προέρχονται από την “BravoMovies” – μια ψεύτικη streaming υπηρεσία ταινιών που είχε δημιουργηθεί από τους εγκληματίες.
Το site φαίνεται αυθεντικό και οι εγκληματίες φρόντισαν να φτιάξουν ψεύτικες αφίσες ταινιών χρησιμοποιώντας εικόνες διαθέσιμες στο διαδίκτυο. Ωστόσο, υπάρχουν διάφορα λάθη (ορθογραφικά κλπ), που αν τα παρατηρήσει ο επισκέπτης, θα καταλάβει ότι κάτι δεν πηγαίνει καλά.
Δείτε επίσης: Παγκόσμια phishing καμπάνια διασπείρει νέα στελέχη malware
Το email ισχυρίζεται ότι το θύμα έχει εγγραφεί στη streaming υπηρεσία και ότι η χρέωση είναι 39,99 $ το μήνα. Αλλά η υποτιθέμενη συνδρομή μπορεί να ακυρωθεί εάν το θύμα καλέσει μια γραμμή υποστήριξης.
Εάν ο χρήστης καλέσει τον αριθμό, θα συνδεθεί με έναν αντιπρόσωπο της “εξυπηρέτησης πελατών”, ο οποίος θα ισχυριστεί ότι θα τον καθοδηγήσει στη διαδικασία κατάργησης της εγγραφής. Στην πραγματικότητα, του λέει πώς να εγκαταστήσει το BazaLoader στον υπολογιστή του.
Τα θύματα καλούνται να ανοίξουν μια σελίδα “Εγγραφής”, και να κάνουν κλικ σε έναν σύνδεσμο που κατεβάζει ένα Microsoft Excel spreadsheet. Αυτό το έγγραφο περιέχει μακροεντολές, οι οποίες, εάν ενεργοποιηθούν, θα κατεβάσουν κρυφά το BazaLoader στο μηχάνημα, μολύνοντας τον υπολογιστή του θύματος.
Η καθοδήγηση των χρηστών προς ένα κακόβουλο payload με αυτόν τον τρόπο, και όχι απευθείας από το phishing email, δυσκολεύει τον εντοπισμό του malware.
Ερευνητής της Proofpoint είπε ότι τα κακόβουλα συνημμένα συχνά αποκλείονται από τα λογισμικά εντοπισμού απειλών. Σε αυτή την περίπτωση, όμως, οι επιτιθέμενοι δεν περιέχουν κάτι κακόβουλο στο phishing email ώστε να επισημανθεί σαν spam. Υπάρχει απλά ένας αριθμός τηλεφώνου, στον οποίο πρέπει να καλέσουν τα θύματα. Η καθοδήγηση γίνεται τηλεφωνικά, οπότε ο εντοπισμός είναι δύσκολος.
Δείτε επίσης: Scammers πλαστογραφούν την Chase Bank σε νέες phishing επιθέσεις!
Ωστόσο, αυτό απαιτεί περισσότερη προσπάθεια από τη μεριά των επιτιθέμενων, ενώ απαιτεί σημαντική εμπλοκή και του θύματος. Αν το θύμα δεν καλέσει τον αριθμό, δεν θα γίνει τίποτα.
Δεδομένου, όμως, ότι ο εντοπισμός είναι δύσκολος, μάλλον αξίζει την επιπλέον προσπάθεια από τους εγκληματίες.
Για να προστατευτούν οι χρήστες και οι οργανισμοί από phishing και social engineering επιθέσεις, πρέπει να ενημερώνονται συχνά για τις νέες απειλές στον κυβερνοχώρο και να παρακολουθούν εκπαιδευτικά προγράμματα, ώστε να μπορούν να αναγνωρίζουν τα κακόβουλα emails.
Πηγή: ZDNet