ΑρχικήsecurityIKEA κυβερνοεπίθεση: Phishing emails στόχευσαν υπαλλήλους

IKEA κυβερνοεπίθεση: Phishing emails στόχευσαν υπαλλήλους

Η IKEA βρέθηκε αντιμέτωπη με μια κυβερνοεπίθεση, αφού σύμφωνα με πρόσφατη έκθεση του Bleeping Computer, εγκληματίες του κυβερνοχώρου στόχευσαν υπαλλήλους με phishing emails, χρησιμοποιώντας κλεμμένα reply-chain emails.

IKEA κυβερνοεπίθεση

Μια επίθεση reply-chain email συμβαίνει όταν οι επιτιθέμενοι κλέβουν νόμιμες επικοινωνίες μεταξύ συνεργατών ή μεταξύ εταιρείας και πελατών και στη συνέχεια απαντούν σε αυτά τα emails με συνδέσμους που οδηγούν σε κακόβουλα έγγραφα, τα οποία με τη σειρά τους εγκαθιστούν κακόβουλο λογισμικό στις συσκευές των παραληπτών.

Δείτε επίσης: FBI: Προειδοποιεί για brand phishing που στοχεύει πελάτες υψηλού προφίλ

Καθώς τα  reply-chain emails είναι νόμιμα emails από μια εταιρεία και αποστέλλονται συνήθως από παραβιασμένους λογαριασμούς email και εσωτερικούς διακομιστές, οι παραλήπτες θεωρούν το email αξιόπιστο και είναι πιο πιθανό να το ανοίξουν.

IKEA: Phishing emails στους υπαλλήλους

Σύμφωνα με το BleepingComputer, η IKEA άρχισε να προειδοποιεί τους υπαλλήλους της για μια reply-chain phishing επίθεση που στόχευε τους ίδιους τους υπαλλήλους.

Υπάρχει μια συνεχιζόμενη κυβερνοεπίθεση που στοχεύει Inter IKEA mailboxes. Άλλοι οργανισμοί, προμηθευτές και επιχειρηματικοί εταίροι της IKEA παραβιάζονται από την ίδια επίθεση και στέλνουν κι άλλα κακόβουλα emails σε άτομα στην IKEA“, εξήγησε η εταιρεία στους υπαλλήλους, σύμφωνα με ένα email που είδε το BleepingComputer την Παρασκευή.

Αυτό σημαίνει ότι η επίθεση μπορεί να έρθει μέσω ενός email από κάποιον με τον οποίο συνεργάζεστε, από οποιονδήποτε εξωτερικό οργανισμό, και ως απάντηση σε συνομιλίες που βρίσκονται ήδη σε εξέλιξη. Επομένως, είναι δύσκολο να εντοπιστεί, γι’ αυτό σας ζητάμε να είστε ιδιαίτερα προσεκτικοί“.

Οι ομάδες IT της IKEA προειδοποίησαν τους υπαλλήλους ότι τα reply-chain emails περιέχουν συνδέσμους με επτά ψηφία στο τέλος και έστειλαν ένα παράδειγμα από phishing email (δείτε παρακάτω). Οι ειδικοί ζήτησαν από τους υπαλλήλους να μην ανοίξουν τα email και να τα αναφέρουν αμέσως στο IT τμήμα.

IKEA Phishing υπαλλήλους

Οι φορείς απειλών άρχισαν πρόσφατα να παραβιάζουν εσωτερικούς Microsoft Exchange servers χρησιμοποιώντας τις ευπάθειες ProxyShell και ProxyLogin για την εκτέλεση phishing επιθέσεων.

Μετά την απόκτηση πρόσβασης, οι επιτιθέμενοι χρησιμοποιήσαν τους εσωτερικούς Microsoft Exchange servers για να εκτελέσουν reply-chain επιθέσεις εναντίον υπαλλήλων.

Όπως είπαμε και παραπάνω, ο παραλήπτης είναι πιο πιθανό να ανοίξει ένα email που στέλνεται από εσωτερικούς διακομιστές ή που συνεχίζει μια συνομιλία που βρίσκεται σε εξέλιξη.

Δείτε επίσης: Phishing email απειλεί influencers με διαγραφή των TikTok accounts τους

Τα φίλτρα email μας μπορούν να αναγνωρίσουν ορισμένα από τα κακόβουλα email και να τα θέσουν σε “καραντίνα”. Όμως, επειδή το email φαίνεται να είναι απάντηση σε μια συνομιλία που βρίσκεται σε εξέλιξη, είναι εύκολο να σκεφτεί κανείς ότι το φίλτρο email έκανε λάθος. Έτσι ο παραλήπτης μπορεί να αποδεσμεύσει το email από την καραντίνα. Γι’ αυτό, απενεργοποιήσαμε τη δυνατότητα που επέτρεπε στους υπαλλήλους να βγάλουν ένα email από την καραντίνα“, ανακοίνωσε η ΙΚΕΑ στους εργαζόμενους.

Phishing επίθεση για τη διάδοση του Emotet ή του Qbot trojan

Από τις διευθύνσεις URL που εμφανίστηκαν στο phishing email, το BleepingComputer κατάφερε να αναγνωρίσει την επίθεση που στόχευσε την IKEA.

Αν επισκεφτεί κάποιος αυτές τις διευθύνσεις URL, θα οδηγηθεί σε μια λήψη που ονομάζεται “charts.zip” και περιέχει ένα κακόβουλο έγγραφο του Excel. Αυτό το συνημμένο λέει στους παραλήπτες να κάνουν κλικ στα κουμπιά “Ενεργοποίηση περιεχομένου” ή “Ενεργοποίηση επεξεργασίας“.

Αν ο χρήστης κάνει κλικ σε αυτά τα κουμπιά, θα αρχίσει η εκτέλεση κακόβουλων μακροεντολών, που κατεβάζουν αρχεία με τα ονόματα “besta.ocx”, “bestb.ocx” και “bestc.ocx” από μια απομακρυσμένη τοποθεσία και τα αποθηκεύουν στο φάκελο C:\Datop.

Δείτε επίσης: Phishing εκστρατεία χρησιμοποίησε την Proofpoint για να εξαπατήσει χρήστες

Αυτά τα αρχεία OCX είναι DLLs και εκτελούνται χρησιμοποιώντας το regsvr32.exe command για την εγκατάσταση του malware payload.

Phishing εκστρατείες που χρησιμοποιούν αυτήν τη μέθοδο, έχουν χρησιμοποιηθεί στο παρελθόν για την εγκατάσταση του trojan Qbot (γνωστό και ως QakBot και Quakbot) και πιθανώς του Emotet.

Λόγω της σοβαρότητας αυτών των μολύνσεων και της πιθανής παραβίασης των Microsoft Exchange servers, η IKEA αντιμετωπίζει αυτό το περιστατικό ασφαλείας ως μια σημαντική κυβερνοεπίθεση.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS