Η IKEA βρέθηκε αντιμέτωπη με μια κυβερνοεπίθεση, αφού σύμφωνα με πρόσφατη έκθεση του Bleeping Computer, εγκληματίες του κυβερνοχώρου στόχευσαν υπαλλήλους με phishing emails, χρησιμοποιώντας κλεμμένα reply-chain emails.
Μια επίθεση reply-chain email συμβαίνει όταν οι επιτιθέμενοι κλέβουν νόμιμες επικοινωνίες μεταξύ συνεργατών ή μεταξύ εταιρείας και πελατών και στη συνέχεια απαντούν σε αυτά τα emails με συνδέσμους που οδηγούν σε κακόβουλα έγγραφα, τα οποία με τη σειρά τους εγκαθιστούν κακόβουλο λογισμικό στις συσκευές των παραληπτών.
Δείτε επίσης: FBI: Προειδοποιεί για brand phishing που στοχεύει πελάτες υψηλού προφίλ
Καθώς τα reply-chain emails είναι νόμιμα emails από μια εταιρεία και αποστέλλονται συνήθως από παραβιασμένους λογαριασμούς email και εσωτερικούς διακομιστές, οι παραλήπτες θεωρούν το email αξιόπιστο και είναι πιο πιθανό να το ανοίξουν.
IKEA: Phishing emails στους υπαλλήλους
Σύμφωνα με το BleepingComputer, η IKEA άρχισε να προειδοποιεί τους υπαλλήλους της για μια reply-chain phishing επίθεση που στόχευε τους ίδιους τους υπαλλήλους.
“Υπάρχει μια συνεχιζόμενη κυβερνοεπίθεση που στοχεύει Inter IKEA mailboxes. Άλλοι οργανισμοί, προμηθευτές και επιχειρηματικοί εταίροι της IKEA παραβιάζονται από την ίδια επίθεση και στέλνουν κι άλλα κακόβουλα emails σε άτομα στην IKEA“, εξήγησε η εταιρεία στους υπαλλήλους, σύμφωνα με ένα email που είδε το BleepingComputer την Παρασκευή.
“Αυτό σημαίνει ότι η επίθεση μπορεί να έρθει μέσω ενός email από κάποιον με τον οποίο συνεργάζεστε, από οποιονδήποτε εξωτερικό οργανισμό, και ως απάντηση σε συνομιλίες που βρίσκονται ήδη σε εξέλιξη. Επομένως, είναι δύσκολο να εντοπιστεί, γι’ αυτό σας ζητάμε να είστε ιδιαίτερα προσεκτικοί“.
Οι ομάδες IT της IKEA προειδοποίησαν τους υπαλλήλους ότι τα reply-chain emails περιέχουν συνδέσμους με επτά ψηφία στο τέλος και έστειλαν ένα παράδειγμα από phishing email (δείτε παρακάτω). Οι ειδικοί ζήτησαν από τους υπαλλήλους να μην ανοίξουν τα email και να τα αναφέρουν αμέσως στο IT τμήμα.
Οι φορείς απειλών άρχισαν πρόσφατα να παραβιάζουν εσωτερικούς Microsoft Exchange servers χρησιμοποιώντας τις ευπάθειες ProxyShell και ProxyLogin για την εκτέλεση phishing επιθέσεων.
Μετά την απόκτηση πρόσβασης, οι επιτιθέμενοι χρησιμοποιήσαν τους εσωτερικούς Microsoft Exchange servers για να εκτελέσουν reply-chain επιθέσεις εναντίον υπαλλήλων.
Όπως είπαμε και παραπάνω, ο παραλήπτης είναι πιο πιθανό να ανοίξει ένα email που στέλνεται από εσωτερικούς διακομιστές ή που συνεχίζει μια συνομιλία που βρίσκεται σε εξέλιξη.
Δείτε επίσης: Phishing email απειλεί influencers με διαγραφή των TikTok accounts τους
“Τα φίλτρα email μας μπορούν να αναγνωρίσουν ορισμένα από τα κακόβουλα email και να τα θέσουν σε “καραντίνα”. Όμως, επειδή το email φαίνεται να είναι απάντηση σε μια συνομιλία που βρίσκεται σε εξέλιξη, είναι εύκολο να σκεφτεί κανείς ότι το φίλτρο email έκανε λάθος. Έτσι ο παραλήπτης μπορεί να αποδεσμεύσει το email από την καραντίνα. Γι’ αυτό, απενεργοποιήσαμε τη δυνατότητα που επέτρεπε στους υπαλλήλους να βγάλουν ένα email από την καραντίνα“, ανακοίνωσε η ΙΚΕΑ στους εργαζόμενους.
Phishing επίθεση για τη διάδοση του Emotet ή του Qbot trojan
Από τις διευθύνσεις URL που εμφανίστηκαν στο phishing email, το BleepingComputer κατάφερε να αναγνωρίσει την επίθεση που στόχευσε την IKEA.
Αν επισκεφτεί κάποιος αυτές τις διευθύνσεις URL, θα οδηγηθεί σε μια λήψη που ονομάζεται “charts.zip” και περιέχει ένα κακόβουλο έγγραφο του Excel. Αυτό το συνημμένο λέει στους παραλήπτες να κάνουν κλικ στα κουμπιά “Ενεργοποίηση περιεχομένου” ή “Ενεργοποίηση επεξεργασίας“.
Αν ο χρήστης κάνει κλικ σε αυτά τα κουμπιά, θα αρχίσει η εκτέλεση κακόβουλων μακροεντολών, που κατεβάζουν αρχεία με τα ονόματα “besta.ocx”, “bestb.ocx” και “bestc.ocx” από μια απομακρυσμένη τοποθεσία και τα αποθηκεύουν στο φάκελο C:\Datop.
Δείτε επίσης: Phishing εκστρατεία χρησιμοποίησε την Proofpoint για να εξαπατήσει χρήστες
Αυτά τα αρχεία OCX είναι DLLs και εκτελούνται χρησιμοποιώντας το regsvr32.exe command για την εγκατάσταση του malware payload.
Phishing εκστρατείες που χρησιμοποιούν αυτήν τη μέθοδο, έχουν χρησιμοποιηθεί στο παρελθόν για την εγκατάσταση του trojan Qbot (γνωστό και ως QakBot και Quakbot) και πιθανώς του Emotet.
Λόγω της σοβαρότητας αυτών των μολύνσεων και της πιθανής παραβίασης των Microsoft Exchange servers, η IKEA αντιμετωπίζει αυτό το περιστατικό ασφαλείας ως μια σημαντική κυβερνοεπίθεση.
Πηγή: Bleeping Computer