Μια νέα καμπάνια ηλεκτρονικού “ψαρέματος” στοχεύει οργανισμούς των ΗΠΑ στον στρατό, το λογισμικό ασφαλείας, την αλυσίδα εφοδιασμού παραγωγής, την υγειονομική περίθαλψη και τους φαρμακευτικούς τομείς για να κλέψει τα διαπιστευτήρια του Microsoft Office 365 και του Outlook.

Η επιχείρηση βρίσκεται σε εξέλιξη και ο παράγοντας απειλής πίσω από αυτήν χρησιμοποιεί πλαστές ειδοποιήσεις τηλεφωνητή για να παρασύρει τα θύματα να ανοίξουν ένα κακόβουλο συνημμένο HTML.

Επισκόπηση καμπάνιας

Σύμφωνα με ερευνητές της εταιρείας ασφάλειας cloud ZScaler, η καμπάνια που ανακαλύφθηκε πρόσφατα μοιράζεται τακτικές, τεχνικές και διαδικασίες (TTP) με μια άλλη λειτουργία που αναλύθηκε στα μέσα του 2020.Επισκόπηση καμπάνιας

Σύμφωνα με ερευνητές της εταιρείας ασφάλειας cloud ZScaler, η καμπάνια που ανακαλύφθηκε πρόσφατα μοιράζεται τακτικές, τεχνικές και διαδικασίες (TTP) με μια άλλη λειτουργία που αναλύθηκε στα μέσα του 2020.

Το email έχει ένα συνημμένο HTML που χρησιμοποιεί έναν χαρακτήρα νότας μουσικής στην ονομασία για να φαίνεται σαν το αρχείο να είναι κλιπ ήχου. Στην πραγματικότητα, το αρχείο περιέχει ασαφή κώδικα JavaScript που μεταφέρει το θύμα σε μια τοποθεσία phishing.

Η μορφή URL ακολουθεί ένα σύστημα συναρμολόγησης που θεωρεί ότι ο τομέας του στοχευόμενου οργανισμού τον κάνει να φαίνεται σαν ο ιστότοπος να είναι νόμιμος υποτομέας.

Σύστημα ονοματοδοσίας τομέα phishing (Zscaler)

Η διαδικασία ανακατεύθυνσης οδηγεί πρώτα το θύμα σε έλεγχο CAPTCHA, ο οποίος έχει σχεδιαστεί για να αποφεύγει τα εργαλεία κατά του phishing και αυξάνει την ψευδαίσθηση νομιμότητας για τα θύματα.

Ο έλεγχος CAPTCHA χρησιμοποιήθηκε επίσης σε μια καμπάνια του 2020 που ανέλυσαν οι ερευνητές ThreatLabZ της ZScaler και συνεχίζει να είναι ένα αποτελεσματικό μεσαίο βήμα που συμβάλλει στην αύξηση του ποσοστού επιτυχίας του phishing.

Μόλις οι χρήστες περάσουν αυτό το βήμα, ανακατευθύνονται σε μια σελίδα phishing με αυθεντική εμφάνιση που κλέβει λογαριασμούς Microsoft Office 365.

Ο τελικός προορισμός των ανακατευθύνσεων είναι μια σελίδα phishing (Zscaler)

Όσοι είναι αρκετά προσεκτικοί θα παρατηρήσουν ότι ο τομέας της σελίδας σύνδεσης δεν ανήκει στη Microsoft ή στον οργανισμό της και είναι ένα από τα ακόλουθα:

• briccorp[.]com
• bajafulfillrnent[.]com
• bpirninerals[.]com
• lovitafood-tw[ .]com
• dorrngroup[.]com
• lacotechs[.]com
• brenthavenhg[.]com
• spasfetech[.]com
• mordematx[.]com
• antarnex[.]com

Αυτός είναι ο λόγος πριν από την υποβολή ή ακόμη και πριν ξεκινήσετε να πληκτρολογείτε το όνομα χρήστη και τον κωδικό πρόσβασής τους, Οι χρήστες πρέπει πάντα να ελέγχουν και να επιβεβαιώνουν ότι βρίσκονται σε μια πραγματική πύλη σύνδεσης και όχι σε μια ψεύτικη.

Συνήθως, οι παραλήπτες είναι συνδεδεμένοι στον λογαριασμό, κάτι που θα πρέπει να κάνει ύποπτο αίτημα για να συνδεθείτε ξανά για να ακούσετε τον αυτόματο τηλεφωνητή.

Το ηλεκτρονικό ψάρεμα με θέμα το φωνητικό ταχυδρομείο με χρήση συνημμένων HTML χρησιμοποιείται τουλάχιστον από το 2019, αλλά εξακολουθεί να είναι αποτελεσματικό, ειδικά με απρόσεκτους υπαλλήλους.