Geri arama kimlik avı operasyonları, sosyal mühendislik yöntemlerini geliştirerek, eski sahte abonelikleri saldırının ilk aşaması için cezbetmeye devam ederken, kurbanların bir enfeksiyon veya bilgisayar korsanlığıyla başa çıkmasına yardımcı oluyormuş gibi davranmaya geçiş yaptı.
Başarılı saldırılar, uzaktan erişim truva atları, casus yazılımlar ve fidye yazılımları gibi ek yükleri düşüren bir kötü amaçlı yazılım yükleyici ile kurbanlara bulaşır.
Geri arama kimlik avı saldırıları, alıcının bu hizmetlere hiç abone olmadığı için kafa karışıklığına yol açmak için tasarlanmış yüksek fiyatlı abonelikler gibi görünen e-posta kampanyalarıdır.
E-postada, alıcının bu “abonelik” hakkında daha fazla bilgi edinmek ve iptal etmek için arayabileceği bir telefon numarası bulunur. Ancak bu, kurbanların cihazlarına kötü amaçlı yazılım dağıtan bir sosyal mühendislik saldırısına yol açar ve potansiyel olarak, tam gelişmiş fidye yazılımı saldırıları.
göre Trellix’ten yeni raporen son kampanyalar Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Hindistan, Çin ve Japonya’daki kullanıcıları hedefliyor.
Her şey BazarCall ile başladı
Geri arama kimlik avı saldırıları ilk olarak Mart 2021’de “BazarCall“Tehdit aktörleri, bir akış hizmeti, yazılım ürünü veya tıbbi hizmetler şirketine abonelik gibi davranan e-postalar göndermeye başladılar ve satın alma işlemini iptal etmek isterlerse arayabilecekleri bir telefon numarası verdiler.
Bir alıcı numarayı aradığında, tehdit aktörleri onları BazarLoader kötü amaçlı yazılımını yükleyecek kötü amaçlı bir Excel dosyasını indirmeye yol açan bir dizi adımdan geçirdi.
BazarLoader, virüslü bir cihaza uzaktan erişim sağlayarak şirket ağlarına ilk erişim sağlar ve sonunda Ryuk veya Conti fidye yazılımı saldırılarına yol açar.
Zaman içinde geri arama kimlik avı saldırılarının önemli bir tehdit olarak ortaya çıktı Silent Ransom Group da dahil olmak üzere çok sayıda bilgisayar korsanlığı grubu tarafından kullanıldığı için, Kuantumve Asil fidye yazılımı / gasp işlemleri.
Yeni sosyal mühendislik hileleri
Geek Squad, Norton, McAfee, PayPal veya Microsoft’a yapılan bir ödemenin faturası olan kimlik avı e-postasındaki yem aynı kalsa da, sosyal mühendislik süreci son geri arama kimlik avı kampanyalarında değişti.
Alıcı, verilen numaradan dolandırıcıyı aradığında, “doğrulama” için fatura ayrıntılarını vermeleri istenir. Ardından, dolandırıcı sistemde eşleşen giriş olmadığını ve kurbanın aldığı e-postanın spam olduğunu beyan eder.
Ardından, sözde müşteri hizmetleri temsilcisi, istenmeyen e-postanın makinelerine kötü amaçlı yazılım bulaşmasına neden olabileceği konusunda kurbanı uyarır ve onları bir teknik uzmanla bağlantı kurmayı teklif eder.
Bir süre sonra, farklı bir dolandırıcı kurbanı bulaşma konusunda onlara yardım etmesi için arar ve onları anti-virüs yazılımı gibi görünen kötü amaçlı yazılımları indirdikleri bir web sitesine yönlendirir.
PayPal temalı kimlik avı saldırılarında kullanılan diğer bir yöntem, kurbana PayPal kullanıp kullanmadıklarını sormak ve ardından hesaplarına dünya çapında çeşitli yerlere yayılmış sekiz cihaz tarafından erişildiğini iddia ederek e-postalarını güvenlik ihlali için kontrol etmektir.
Güvenlik yazılımı abonelik yenileme kampanyalarında, dolandırıcılar, kurbanın dizüstü bilgisayarına önceden yüklenen güvenlik ürününün süresinin dolduğunu ve korumayı genişletmek için otomatik olarak yenilendiğini iddia ediyor.
Sonunda dolandırıcı, kurbanı yine kötü amaçlı yazılım bırakma sitesi olan bir iptal ve geri ödeme portalına yönlendirir.
Tüm bu kampanyaların sonucu, kurbanı tehdit aktörüne bağlı olarak BazarLoader, uzaktan erişim truva atları, Cobalt Strike veya diğer bazı uzaktan erişim yazılımları olabilecek kötü amaçlı yazılımları indirmeye ikna ediyor.
Cihazların uzaktan kontrolünün alınması
Trellix, bu son kampanyaların çoğunun, başlatıldığında ScreenConnect uzaktan erişim aracını yükleyen ‘support.Client.exe’ adlı bir ClickOnce yürütülebilir dosyasını zorladığını söylüyor.
“Saldırgan ayrıca sahte bir kilit ekranı gösterebilir ve sistemi kurban için erişilemez hale getirebilir, burada saldırgan, kurbanın farkında olmadan görevleri gerçekleştirebilir.” Trellix’i açıklar.
Güvenlik analistleri tarafından görülen bazı durumlarda, dolandırıcılar sahte iptal formları açtı ve kurbanlardan kişisel bilgileriyle doldurmalarını istedi.
Son olarak, geri ödemeyi almak için kurbandan banka hesabına giriş yapması istenir ve burada dolandırıcıya para göndermesi için kandırılırlar.
Trellix raporu, “Bu, kurbanın ekranını kilitleyerek ve bir aktarım isteği başlatarak ve ardından işlem bir OTP (Tek Kullanımlık Parola) veya ikincil bir parola gerektirdiğinde ekranın kilidini açarak gerçekleştirilir” diye açıklıyor.
“Ayrıca, mağdura, geri ödemeyi aldıklarına inandırmak için sahte bir geri ödeme başarılı sayfası sunulur. Dolandırıcı, mağdurun şüphelenmesini önlemek için ek bir taktik olarak kurbana sahte para alındı mesajı içeren bir SMS de gönderebilir. herhangi bir dolandırıcılık.”
Tehdit aktörleri herhangi bir zamanda ek, daha kötü kötü amaçlı yazılımlar bırakabileceğinden, uzun vadeli casusluk yapabileceğinden ve son derece hassas bilgileri çalabileceğinden, para kaybetmek, virüs bulaşmış kullanıcıların karşılaşabileceği sorunlardan yalnızca biridir.