Οι επιθέσεις Callback phishing, έχουν εξελίξει τις μεθόδους social engineering τους, χρησιμοποιώντας παλιές ψεύτικες συνδρομές και προσποιούμενοι ότι θέλουν να βοηθήσουν τα θύματα να αντιμετωπίσουν μια επίθεση.
Δείτε επίσης: Microsoft Defender for Office 365: Οι χρήστες του Teams θα μπορούν να αναφέρουν phishing μηνύματα
Οι επιτυχείς επιθέσεις μολύνουν τα θύματα με ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού, που απορρίπτει πρόσθετα ωφέλιμα φορτία όπως trojan απομακρυσμένης πρόσβασης, λογισμικό υποκλοπής spyware και ransomware.
Οι επιθέσεις Callback phishing, δηλαδή αυτές που χρησιμοποιούν επιστροφή κλήσης, προσποιούνται ότι είναι ακριβές συνδρομητικές υπηρεσίες, οι οποίες προσπαθούν να μπερδέψουν το παραλήπτη, ο οποίος δεν έχει εγγραφεί ποτέ σε αυτές τις υπηρεσίες.
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Πώς να Σαρώσετε με Ασφάλεια QR Codes;
OpenAI: Hackers παρεμβαίνουν στις εκλογές χρησιμοποιώντας AI
Στο email εσωκλείεται ένας αριθμός τηλεφώνου που μπορεί να καλέσει ο παραλήπτης για να μάθει περισσότερα σχετικά με αυτήν τη “συνδρομή” και να την ακυρώσει. Ωστόσο, αυτό οδηγεί σε μια επίθεση social engineering που αναπτύσσει κακόβουλο λογισμικό στις συσκευές των θυμάτων και ενδεχομένως επιθέσεις ransomware.
Σύμφωνα με μια νέα αναφορά της Trellix, οι πιο πρόσφατες καμπάνιες στοχεύουν χρήστες στις Ηνωμένες Πολιτείες, τον Καναδά, το Ηνωμένο Βασίλειο, την Ινδία, την Κίνα και την Ιαπωνία.
Οι επιθέσεις Callback phishing εμφανίστηκαν για πρώτη φορά τον Μάρτιο του 2021 με το όνομα “BazarCall”, όπου οι κακόβουλοι παράγοντες άρχισαν να στέλνουν email που έλεγαν στους χρήστες ότι ήταν συνδρομητές σε υπηρεσίες ροής, προϊόν λογισμικού ή εταιρείες ιατρικών υπηρεσιών, δίνοντας έναν αριθμό τηλεφώνου για να καλέσουν εάν θέλουν να ακυρώσουν τη συνδρομή.
Όταν ένας παραλήπτης καλούσε τον αριθμό, οι κακόβουλοι παράγοντες τους έλεγαν να ακολουθήσουν μία σειρά βημάτων που οδηγούσαν τελικά στη λήψη ενός κακόβουλου αρχείου Excel που θα εγκαθιστούσε το κακόβουλο λογισμικό BazarLoader.
Δείτε ακόμα: Η Γερμανία συλλαμβάνει χάκερ για κλοπή 4 εκατ. ευρώ μέσω επιθέσεων phishing
Το BazarLoader θα παρείχε απομακρυσμένη πρόσβαση σε μια μολυσμένη συσκευή, παρέχοντας αρχική πρόσβαση σε εταιρικά δίκτυα και τελικά οδηγώντας σε επιθέσεις ransomware Ryuk ή Conti.
Με την πάροδο του χρόνου, αυτές οι επιθέσεις έχουν αναδειχθεί σημαντική απειλή, καθώς χρησιμοποιούνται πλέον από πολυάριθμες ομάδες hacking, συμπεριλαμβανομένων των Silent Ransom Group, Quantum και του Royal ransomware.
Η διαδικασία έχει αλλάξει στις πιο πρόσφατες εκστρατείες ηλεκτρονικού ψαρέματος Callback, αν και το δόλωμα στο email ηλεκτρονικού ψαρέματος παραμένει το ίδιο, ένα τιμολόγιο για μια πληρωμή που πραγματοποιείται στο Geek Squad, το Norton, το McAfee, το PayPal ή τη Microsoft.
Μόλις ο παραλήπτης καλέσει τον απατεώνα στον παρεχόμενο αριθμό, του ζητείται να δώσει τα στοιχεία τιμολόγησης για «επαλήθευση». Στη συνέχεια, ο απατεώνας δηλώνει ότι δεν υπάρχουν αντίστοιχες εγγραφές στο σύστημα και ότι το email που έλαβε το θύμα ήταν spam.
Στη συνέχεια, ο υποτιθέμενος αντιπρόσωπος εξυπηρέτησης πελατών προειδοποιεί το θύμα ότι το spam email μπορεί να είχε ως αποτέλεσμα μόλυνση από κακόβουλο λογισμικό στον υπολογιστή του, και προσφέρεται να τον συνδέσει με έναν ειδικό για να τον βοηθήσει.
Μετά από λίγο, ένας διαφορετικός απατεώνας καλεί το θύμα για να το βοηθήσει με τη μόλυνση και το κατευθύνει σε έναν ιστότοπο όπου κατεβάζει κακόβουλο λογισμικό μεταμφιεσμένο σε λογισμικό προστασίας από ιούς.
Δείτε επίσης: Νέα phishing εκστρατεία στοχεύει military contractors
Μια άλλη παραλλαγή που χρησιμοποιείται στις επιθέσεις phishing με θέμα το PayPal είναι να ρωτήσουν το θύμα εάν χρησιμοποιεί PayPal και στη συνέχεια ζητούν να ελέγξουν το email του για παραβίαση, υποστηρίζοντας ότι ο λογαριασμός του είχε πρόσβαση από οκτώ συσκευές σε διάφορες τοποθεσίες σε όλο τον κόσμο.
Το αποτέλεσμα όλων αυτών των εκστρατειών είναι να πειστεί το θύμα να κατεβάσει κακόβουλο λογισμικό, το οποίο θα μπορούσε να είναι το BazarLoader, trojans απομακρυσμένης πρόσβασης, Cobalt Strike ή κάποιο άλλο λογισμικό απομακρυσμένης πρόσβασης, ανάλογα με τον παράγοντα απειλής.