Πρόσφατα εντοπισμένες επιχειρήσεις phishing Luna Moth, αποκαλύπτουν μια εξελιγμένη καμπάνια που στοχεύει νομικά και χρηματοοικονομικά ιδρύματα, μέσω επιδέξια κατασκευασμένων domains με σκόπιμα ορθογραφικά λάθη (typosquatting).
Δείτε επίσης: Τα κακόβουλα πακέτα NPM στοχεύουν χρήστες PayPal
Ερευνητές ασφαλείας της EclecticIQ, με πρόσθετα ευρήματα από την Silent Push, αποκάλυψαν μια μεθοδική προσέγγιση στην καταχώρηση domains, η οποία επιτρέπει στους ειδικούς κυβερνοασφάλειας να εντοπίζουν και να παρακολουθούν έγκαιρα νέες υποδομές επιθέσεων.
Από τον Μάρτιο του 2025, η Luna Moth (γνωστή επίσης ως Silent Ransom Group, UNC3753 και Storm-0252) έχει εντείνει τις επιθέσεις της σε οργανισμούς υψηλής αξίας στις ΗΠΑ. Η ομάδα έχει καταχωρήσει τουλάχιστον 37 domains μέσω του GoDaddy, ενώ νεότερες πληροφορίες υποδεικνύουν ότι ο αριθμός αυτός μπορεί να υπερβαίνει τα 50 μοναδικά domains.
Τα domains της Luna Moth, ακολουθούν ένα σταθερό μοτίβο ονοματοδοσίας, χρησιμοποιώντας συνήθως μορφές όπως [όνομα_εταιρείας]-helpdesk.com ή [όνομα_εταιρείας]helpdesk.com, προκειμένου να μιμηθούν νόμιμες πύλες υποστήριξης IT.
Η ομάδα έχει εξελιχθεί πέρα από τις παραδοσιακές τεχνικές phishing που βασίζονται σε κακόβουλα συνημμένα ή συνδέσμους, υιοθετώντας πλέον μεθόδους επίθεσης μέσω τηλεφώνου (TOAD – Telephone-Oriented Attack Delivery). Αυτές ξεκινούν με φαινομενικά αθώα email, τα οποία προτρέπουν τους παραλήπτες να καλέσουν ψεύτικους αριθμούς «υποστήριξης».
Δείτε ακόμα: Το AI slopsquatting γίνεται ο νέος κίνδυνος της εφοδιαστικής αλυσίδας
Ένα ιδιαίτερα ανησυχητικό στοιχείο είναι η εργαλειοποίηση της πλατφόρμας Reamaze —μιας νόμιμης υπηρεσίας υποστήριξης πελατών που ανήκει στην GoDaddy— από την ομάδα Luna Moth. Οι κυβερνοεγκληματίες ενσωματώνουν chatbots με τεχνητή νοημοσύνη στις phishing σελίδες τους, ώστε να προσομοιάζουν αυθεντικές συνομιλίες με IT helpdesk, ενισχύοντας την αξιοπιστία της απάτης.
Αυτά τα chatbots αλληλεπιδρούν με τα θύματα σε πραγματικό χρόνο, καθοδηγώντας τα στην εγκατάσταση εργαλείων απομακρυσμένης διαχείρισης (RMM), όπως τα AnyDesk, TeamViewer και ScreenConnect — όλα νόμιμα λογισμικά, τα οποία όμως επιτρέπουν στους επιτιθέμενους άμεση πρόσβαση στο σύστημα, χωρίς την ανάγκη εγκατάστασης κακόβουλου λογισμικού.
Η καμπάνια της Luna Moth δείχνει ξεκάθαρη στόχευση κατά συγκεκριμένων κλάδων, με νομικές εταιρείες να αποτελούν το 40,28% των θυμάτων, ακολουθούμενες από τον χρηματοοικονομικό τομέα (23,61%) και τις λογιστικές υπηρεσίες (13,89%).
Οι ειδικοί στην κυβερνοασφάλεια συνιστούν την ενίσχυση των μέτρων ασφαλείας για τα email, την εκπαίδευση του προσωπικού σχετικά με τις τεχνικές phishing που περιλαμβάνουν τηλεφωνική επαφή, καθώς και την ανάπτυξη κανόνων εντοπισμού για την απροειδοποίητη εγκατάσταση εργαλείων RMM.
Δείτε επίσης: Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
Κάτι ιδιαίτερα ανησυχητικό σχετικά με την υπόθεση της Luna Moth είναι ότι εκμεταλλεύεται τη «γκρίζα ζώνη» μεταξύ νόμιμων εργαλείων και κακόβουλης χρήσης. Αντί να χρησιμοποιεί ιούς ή παραδοσιακά malware, βασίζεται σε social engineering και στην πειστική παρουσίαση μέσω πλατφορμών όπως η Reamaze, καθιστώντας την ανίχνευση από τα συμβατικά συστήματα ασφαλείας ιδιαίτερα δύσκολη.
Πηγή: cybersecuritynews
