Недавняя атака программ-вымогателей на Colonial Pipeline вдохновила злоумышленника создать новую фишинговую приманку, чтобы обманом заставить жертв загрузить вредоносные файлы.
Электронные письма предназначены для срочных уведомлений о загрузке и установке обновления системы, которое защитит от новейших штаммов программ-вымогателей.
Хорошо составленные электронные письма
Злоумышленники не потеряли много времени после инцидента с Colonial Pipeline и использовали его в качестве темы в новой фишинг-кампании, развернутой через пару недель.Исследователи облачной платформы безопасности электронной почты INKY проанализировали атаку, которая пыталась скомпрометировать компьютерные системы с помощью инструмента тестирования на проникновение Cobalt Strike.
В поддельных электронных письмах атака Colonial Pipeline используется в качестве примера разрушительных последствий, которые инцидент с вымогательством может иметь для организации.
Они призывают получателей установить обновление системы по внешней ссылке, чтобы система могла «обнаруживать и предотвращать новейшие штаммы программ-вымогателей». Также указан крайний срок для применения обновления, чтобы повысить срочность.
Кобальтовый удар внутри
Злоумышленник использовал домены, которые легко принять за легитимные ( ms-sysupdate [.] Com и selectedpatch [.] Com ), зарегистрированные в конце мая через Namecheap.Исследователи INKY отмечают, что эти два домена использовались для отправки вредоносных писем, а также для размещения поддельных исполняемых файлов «обновления вымогателей».
Кроме того, в обоих случаях страницы загрузки были настроены с использованием логотипа и изображений целевой компании, чтобы они выглядели заслуживающими доверия.
Исследователи INKY сообщают сегодня в блоге, что полезной нагрузкой была Cobalt Strike, программа для эмуляции угроз, разработанная для целей тестирования на проникновение, но также часто используемая злоумышленниками, особенно в сфере программ-вымогателей.
Что еще хуже, исходный код Cobalt Strike просочился в конце 2020 года, что сделало его доступным для более широкого круга злоумышленников.
К счастью, полезная нагрузка, используемая в этой фишинговой кампании, обнаруживается большим количеством антивирусных решений.
Злоумышленники в фишинговом бизнесе следят за новостями, чтобы придумывать соответствующие приманки, которые повысят успех их кампаний.
Обычно пользователи более восприимчивы к сообщениям, содержащим знакомую информацию. В данном случае получившая широкую огласку атака на Colonial Pipelines привлекла внимание к угрозе программ-вымогателей и их более широкому влиянию на уязвимые организации .
«В этой среде фишеры пытались использовать беспокойство людей, предлагая им обновление программного обеспечения, которое« решит »проблему с помощью адресного электронного письма, в котором использовался язык дизайна, который вполне мог принадлежать компании-получателю. Все, что нужно было сделать получателю, - это нажать большую синюю кнопку, и вредоносное ПО было внедрено »- INKY
Перевод - Google
Bleeping Computer