Было замечено, что злоумышленники, стоящие за фишинговыми атаками с перезвоном BazaCall, используют Google Forms для придания схеме видимости достоверности.
Этот метод представляет собой "попытку повысить воспринимаемую подлинность первоначальных вредоносных электронных писем", говорится в опубликованном сегодня отчете компании по кибербезопасности Ann.Security.
BazaCall (он же BazarCall), который впервые был замечен в 2020 году, относится к серии фишинговых атак, в ходе которых адресатам отправляются сообщения электронной почты, выдающие себя за уведомления о законных подписках, призывающие их обратиться в службу поддержки для оспаривания или отмены плана, или рискуют получить штраф в размере от 50 до 500 долларов.
Создавая ложное ощущение срочности, злоумышленник убеждает цель по телефону предоставить им возможности удаленного доступа с помощью программного обеспечения для удаленного рабочего стола и в конечном итоге устанавливает постоянство на хостинге под видом предложения помощи в отмене предполагаемой подписки.
Некоторые из популярных сервисов, которые выдаются за другие, включают Netflix, Hulu, Disney +, Masterclass, McAfee, Norton и GeekSquad.
В последнем варианте атаки, обнаруженном службой безопасности, форма, созданная с помощью Google Forms, используется в качестве канала для обмена информацией о предполагаемой подписке.
Стоит отметить, что в форме включены квитанции об ответе, которые отправляют копию ответа респонденту формы по электронной почте, так что злоумышленник может отправить приглашение самостоятельно заполнить форму и получить ответы.
"Поскольку злоумышленник включил опцию получения ответа, цель получит копию заполненной формы, которую злоумышленник сконструировал так, чтобы она выглядела как подтверждение платежа за антивирусное программное обеспечение Norton", - сказал исследователь безопасности Майк Бриттон.
Использование Google Forms также разумно тем, что ответы отправляются с адреса "forms-квитанции-noreply@google [.]com", который является надежным доменом и, следовательно, имеет более высокую вероятность обхода защищенных почтовых шлюзов, о чем свидетельствует недавняя фишинговая кампания Google Forms, обнаруженная Cisco Talos в прошлом месяце.
"Кроме того, Google Forms часто используют динамически генерируемые URL-адреса", - объяснила Бриттон. "Постоянно меняющийся характер этих URL-адресов может обойти традиционные меры безопасности, которые используют статический анализ и обнаружение на основе сигнатур, которые полагаются на известные шаблоны для выявления угроз".
Компания по корпоративной безопасности приписала волну атак "квалифицированному, финансово мотивированному субъекту угрозы", которого она отслеживает как TA4557, который имеет опыт злоупотребления законными службами обмена сообщениями и предложения поддельных заданий по электронной почте, чтобы в конечном итоге внедрить бэкдор More_eggs.
"В частности, в цепочке атак, использующей новую технологию прямого электронного письма, после того, как получатель отвечает на первоначальное электронное письмо, было замечено, что участник отвечает URL-ссылкой на контролируемый участником веб-сайт, выдавая себя за резюме кандидата", - сказал Proofpoint.
"В качестве альтернативы было замечено, что актер отвечал вложением в формате PDF или Word, содержащим инструкции по посещению веб-сайта с поддельными резюме".
More_eggs предлагается по принципу "вредоносное ПО как услуга" и используется другими известными группами киберпреступников, такими как Cobalt Group (она же Cobalt Gang), Evilnum и FIN6. Ранее в этом году eSentire связала вредоносное ПО с двумя операторами из Монреаля и Бухареста.
Этот метод представляет собой "попытку повысить воспринимаемую подлинность первоначальных вредоносных электронных писем", говорится в опубликованном сегодня отчете компании по кибербезопасности Ann.Security.
BazaCall (он же BazarCall), который впервые был замечен в 2020 году, относится к серии фишинговых атак, в ходе которых адресатам отправляются сообщения электронной почты, выдающие себя за уведомления о законных подписках, призывающие их обратиться в службу поддержки для оспаривания или отмены плана, или рискуют получить штраф в размере от 50 до 500 долларов.
Создавая ложное ощущение срочности, злоумышленник убеждает цель по телефону предоставить им возможности удаленного доступа с помощью программного обеспечения для удаленного рабочего стола и в конечном итоге устанавливает постоянство на хостинге под видом предложения помощи в отмене предполагаемой подписки.
Некоторые из популярных сервисов, которые выдаются за другие, включают Netflix, Hulu, Disney +, Masterclass, McAfee, Norton и GeekSquad.
В последнем варианте атаки, обнаруженном службой безопасности, форма, созданная с помощью Google Forms, используется в качестве канала для обмена информацией о предполагаемой подписке.
Стоит отметить, что в форме включены квитанции об ответе, которые отправляют копию ответа респонденту формы по электронной почте, так что злоумышленник может отправить приглашение самостоятельно заполнить форму и получить ответы.
"Поскольку злоумышленник включил опцию получения ответа, цель получит копию заполненной формы, которую злоумышленник сконструировал так, чтобы она выглядела как подтверждение платежа за антивирусное программное обеспечение Norton", - сказал исследователь безопасности Майк Бриттон.
Использование Google Forms также разумно тем, что ответы отправляются с адреса "forms-квитанции-noreply@google [.]com", который является надежным доменом и, следовательно, имеет более высокую вероятность обхода защищенных почтовых шлюзов, о чем свидетельствует недавняя фишинговая кампания Google Forms, обнаруженная Cisco Talos в прошлом месяце.
"Кроме того, Google Forms часто используют динамически генерируемые URL-адреса", - объяснила Бриттон. "Постоянно меняющийся характер этих URL-адресов может обойти традиционные меры безопасности, которые используют статический анализ и обнаружение на основе сигнатур, которые полагаются на известные шаблоны для выявления угроз".
Злоумышленник нацелен на рекрутеров с помощью бэкдора More_eggs
Информация поступает после того, как Proofpoint раскрыла новую фишинговую кампанию, нацеленную на рекрутеров с помощью прямых электронных писем, которые в конечном итоге приводят к бэкдору JavaScript, известному как More_eggs.Компания по корпоративной безопасности приписала волну атак "квалифицированному, финансово мотивированному субъекту угрозы", которого она отслеживает как TA4557, который имеет опыт злоупотребления законными службами обмена сообщениями и предложения поддельных заданий по электронной почте, чтобы в конечном итоге внедрить бэкдор More_eggs.
"В частности, в цепочке атак, использующей новую технологию прямого электронного письма, после того, как получатель отвечает на первоначальное электронное письмо, было замечено, что участник отвечает URL-ссылкой на контролируемый участником веб-сайт, выдавая себя за резюме кандидата", - сказал Proofpoint.
"В качестве альтернативы было замечено, что актер отвечал вложением в формате PDF или Word, содержащим инструкции по посещению веб-сайта с поддельными резюме".
More_eggs предлагается по принципу "вредоносное ПО как услуга" и используется другими известными группами киберпреступников, такими как Cobalt Group (она же Cobalt Gang), Evilnum и FIN6. Ранее в этом году eSentire связала вредоносное ПО с двумя операторами из Монреаля и Бухареста.
