Фишинговые злоумышленники теперь используют несколько учетных записей электронной почты, чтобы начать групповые беседы с вами.

Фишинговые злоумышленники теперь используют несколько учетных записей электронной почты, чтобы начать групповые беседы с вами.

14 сентября 2022 г.

Исследователи предупреждают, что иранские хакеры, спонсируемые государством, придумали новую грязную уловку, чтобы заставить людей загружать вредоносные вложения.

Эксперты по кибербезопасности из Proofpoint обнаружил, что злоумышленник TA453, предположительно связанный с Корпусом стражей исламской революции (КСИР), занимается «многоличностным олицетворением» или «марионеткой», чтобы заставить жертв скачивать вредоносное ПО.

Другими словами, у них отправлять по электронной почте разговоры с самими собой, позволяя жертвам слушать по сторонам, прежде чем обманным путем заставить их загрузить файл, который даже не обязательно был отправлен на их.

Имитация разговора

Вот как это работает: злоумышленники создают несколько поддельных учетных записей электронной почты, похищая личности ученых, директоров и других высокопоставленных лиц. Затем они отправляли электронное письмо с одного из адресов на другой, при этом копируя жертву. Через день или два они ответят на это письмо со второго адреса, который также принадлежит им.

Таким образом, жертва, по сути, застрявшая в середине переписки по электронной почте, могла ослабить бдительность и создать ложное ощущение легитимности всего происходящего. После короткой переписки один из участников отправлял вложение другим участникам, и если жертва загружала и запускала его на своем конечные точки, они получат файл .DOCX, заполненный опасными макросами.

Самым большим тревожным сигналом в этой кампании является тот факт, что все электронные письма, использованные в атаке, создаются на основных почтовых провайдерах, таких как Gmail, Outlook или Hotmail, а не на доменах организаций, выдающих себя за них.

«Загруженный шаблон, названный Proofpoint Korg, содержит три макроса: Module1.bas, Module2.bas и ThisDocument.cls», — пояснили исследователи. «Макросы собирают такую ​​информацию, как имя пользователя, список запущенных процессов вместе с общедоступным IP-адресом пользователя с my-ip.io, а затем извлекают эту информацию с помощью Telegram API».

Хотя они не могли Чтобы убедиться в этом, исследователи полагают, что в дальнейшем злоумышленники прибегают к дополнительной эксплуатации.

PREVIOUS ARTICLE
NEXT ARTICLE