Центр защиты от фишинга Cofense выявил недавнюю кампанию кибератак, которая умело сочетает методы фишинга, нацеленные на учетные данные Office365, с распространением вредоносных программ. В этой кампании в качестве приманки используется напоминание об удалении файлов, побуждающее пользователей к немедленным действиям.
Как работает атака?
Жертвы получают электронные письма, которые, как представляется, исходят от законного файлообменного сервиса, что повышает эффективность приманки для ничего не подозревающих пользователей. При нажатии на название документа с гиперссылкой в электронном письме пользователи перенаправляются на сайт files.fm, где они могут загрузить PDF-файл.
Однако атака запускается, когда пользователи открывают файл. Внутри PDF-файла злоумышленники используют двойной подход, применяя две безобидные на вид гиперссылки с надписями «Предварительный просмотр» и «Загрузка». За этими ссылками скрываются угрозы, которые заманивают пользователей в различные фишинговые ловушки:
- Нажатие «Предварительный просмотр»: Перенаправляет пользователей на веб-сайт, имитирующий страницу входа в систему Microsoft. Это создает риск кражи учетных данных из-за незначительных признаков фишинга, таких как нестандартный URL-адрес.
- Нажатие «Загрузка»: Загружает вредоносное ПО, известное как ConnectWise Remote Access Tool (RAT).
Что происходит после загрузки?
Когда пользователи открывают загруженный файл, вредоносное ПО устанавливает и запускает процессы, использующие законное программное обеспечение для удаленного доступа. В частности, запускаются приложения, помеченные как ScreenConnect.ClientService.exe и ScreenConnect подключается.WindowsClient.exe, что позволяет осуществлять несанкционированные удаленные подключения и перемещение внутри сетей.
Конечная точка управления (C2), используемая злоумышленниками, представляет собой замаскированный домен, который позволяет удаленно выполнять команды в скомпрометированных системах. Кроме того, вредоносная программа использует методы сохранения, создавая запись в реестре HKEY_LOCAL_MACHINE, чтобы обеспечить выполнение при загрузке системы. Этот метод значительно повышает ее способность противостоять ручному завершению работы или удалению антивируса.
Заключение: необходимость повышения осведомленности
Кампания демонстрирует настоятельную необходимость повышения осведомленности пользователей о фишинговых схемах, поскольку многие ничего не подозревающие пользователи могут не заметить предупреждающие знаки в таких вводящих в заблуждение сообщениях. Хотя организации могут усилить свою защиту с помощью автоматизированных систем, бдительность людей по-прежнему играет решающую роль в выявлении фишинговых угроз и сообщении о них для снижения рисков безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Угрозы фишинга: новая кибератака на Office365 и вредоносные ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.