„Microsoft“ seka naują kenkėjiškų programų kampaniją naudodama skambučių centro suktybę

Saugumo tyrėjai, dirbantys „Microsoft“ kibernetinio saugumo skyriuje, perspėja visuomenę apie naują dviejų pakopų kenkėjiškų programų išpuolį, kuris galiausiai siekia aukos sistemoje įdiegti išpirkos programą. Kenkėjiškų programų kampaniją vykdantys grėsmės veikėjai naudoja tikruosius telefonų operatorius, kad paskleistų kenkėjiškas programas.

Pirmasis kenkėjiškos atakos žingsnis reiškia, kad auka gauna sukčiavimo el. Laišką. Laiško tekste naudojama sumani socialinė inžinerija, kad išgąsdintų aukas. Laiške raginama gavėją paskambinti padirbtu palaikymo telefono numeriu, kad būtų atšaukta bandomoji prenumerata, kuri tariamai automatiškai pereis prie mokamos, jei nebus aiškiai atšaukta.

Kai vartotojas paskambina netikra skambučių centro palaikymo linija, su juo susisiekia tiesioginis operatorius, dirbantis su kenkėjiškų programų gauja. Telefono operatorius nurodo aukai apsilankyti interneto svetainėje, kur reikia atsisiųsti „Excel“ failą, kurį reikia užpildyti, jei nori atšaukti neegzistuojančią prenumeratą.

Kai vartotojas atsisiunčia ir atidaro „Excel“ failą, skaičiuoklės faile esanti kenkėjiška makrokomanda parsisiunčia pagrindinę naudingąją apkrovą. Naudojama kenkėjiška programa pavadinta „BazarLoader“ ir įdiegia užpakalinę duris, kurias nusikaltėliai vėliau gali naudoti įvairioms kenkėjiškoms užduotims atlikti. Užpakalinė duris suteikia įsilaužėliams galimybę į aukų sistemą įkelti papildomą kenkėjišką programą, nuskaityti iš jos informaciją, taip pat rasti ir naudoti kitas pažeidžiamas mašinas, prijungtas prie to paties tinklo.

Nors skirtinguose sukčiavimo el. Laiškuose masalas naudojamas skirtingomis netikromis prenumeratomis, „Microsoft“ logiškai labiausiai orientuota į el. Laiškus, kurie apgaulingi „Office 365“ prenumeratą ir yra skirti „Office“ vartotojams. Kitas iššūkis, kurį „Microsoft“ pabrėžia savo pranešime apie kenkėjiškų programų kampaniją, yra tai, kaip sunku kovos su kenkėjiškų programų programine įranga pastebėti, kad originalus sukčiavimo el. Laiškas yra kenkėjiškas. Sukčiavime nėra jokių kenksmingų priedų ar tiesioginių nuorodų į kenkėjiškus domenus ir URL, todėl ankstyvą el. Laiško aptikimą ir žymėjimą kaip kenkėjišką ypač sunku.

Be to, „Microsoft“ pastebėjo, kad ta pati kenkėjiškų programų grupė, vykdanti „BazarLoader“ kampaniją, taip pat naudoja „CobaltStrike“ skverbimosi testavimo rinkinį. Tai skirta pavogti vartotojo duomenis, taip pat šoninį judėjimą tinkle po to, kai buvo pažeista ir pažeista viena pagrindinio kompiuterio sistema.