Группа киберпреступников Storm-1811 начала использовать программу Quick Assist от Microsoft для проведения масштабных атак. По информации Microsoft Threat Intelligence, этот инструмент, первоначально предназначенный для удалённой помощи в решении технических проблем, теперь стал инструментом для социальной инженерии.
Атаки проводятся посредством мошенничества: злоумышленники подделывают звонки от имени техподдержки и убеждают пользователей установить дополнительное программное обеспечение для удалённого управления, что является первым шагом для внедрения вредоносов типа QakBot и Cobalt Strike, а затем и вируса-вымогателя Black Basta.
Примечательно, что преступники также используют тактику засорения почтовых ящиков жертв подписками, чтобы создать иллюзию проблемы с переполнением входящих, после чего они предлагают свои услуги для её решения. Это увеличивает шансы на успешное обманное взаимодействие с жертвами.
Дополнительно, после получения доступа к компьютерам жертв, Storm-1811 проводит серию операций вручную, включая анализ доменной структуры и перемещение внутри сети предприятия, что позволяет масштабировать атаку и распространять вирус-вымогатель по всей организации.
Кампания, о которой идет речь, затрагивает множество отраслей - от производства и строительства до пищевой промышленности и транспорта, что подчеркивает целеустремленность и масштабы действий злоумышленников.
Microsoft уже предпринимает шаги для усиления защиты Quick Assist, включая внедрение предупредительных сообщений, чтобы предостеречь пользователей от потенциальных мошеннических действий.
