Ny phishing-e-mail-kampagne efterligner amerikansk posttjeneste til at levere malware

Hvordan amerikanske virksomheder kan forsvare sig mod cyberattacks fra statslige aktører Samarbejde mellem den private sektor og regeringen, siger advokat og tidligere CIA-sagsbehandler Jack Rice, er den bedste måde at beskytte virksomhedsdata mod cyberangreb.

En ny phishing-kampagne, der har været på turné i Europa, har nu ramt USA med det mål at sprede en trojan på computere, som beskrevet i en rapport, der blev offentliggjort torsdag af Proofpoint.

Mere om cybersikkerhed

  • Cybersikkerhed i 2020: Otte skræmmende forudsigelser
  • De ti vigtigste cyberangreb i årtiet
  • Sådan bliver du en cybersecurity-pro: Et snyderi
  • Den berømte con mand Frank Abagnale: Kriminalitet er 4.000 gange lettere i dag

Phishing-e-mails er en af ​​de vanskeligste taktikker, som cyberkriminelle anvender for at forsøge at lokke potentielle ofre til at tage deres agn. Maskerad som legitime e-mails fra faktiske organisationer, kan sådanne meddelelser ofte let dupe folk til at klikke på det forkerte link eller åbne den forkerte filvedhæftning og derved blive inficeret af malware.

Phishing-angreb: En guide til it-professionelle (gratis PDF)

Den 12. november 2019 observerede Proofpoint-forskere tusinder af e-mails, der forsøgte at installere ondsindede Microsoft Word-vedhæftede filer i USA, ifølge rapporten. E-mails efterlignede meddelelser fra United States Postal Service og var en del af en kampagne for at inficere systemer med IcedID-bank-trojanen.

IcedID blev opdaget i 2017 af IBM X-Force Research, og henvender sig typisk til banker, udbydere af betalingskort og andre finansielle institutioner i et forsøg på at stjæle brugeroplysninger.

I stedet for at målrette finansielle virksomheder, var kampagnen fundet af Proofpoint stærkt direkte i sundhedsområdet. De opdagede e-mails bruger URL-adressen uspsdelivery-service.com, mens de ondsindede Word-dokumenter indeholder en påstået RSA SecurID-nøgle. Åbning af Word-dokumentet udløser en Microsoft Office-makro, der starter et PowerShell-script, som derefter downloader og installerer IcedID på computeren.

USA er kun det seneste mål i denne nye kampagne, ifølge rapporten. I oktober og derefter igen i november observerede Proofpoint den samme trusselaktør, der blev udnævnt internt som TA2101, og sigter mod virksomheder i Tyskland med e-mails, der udråber det tyske føderale finansministerium. Ud over det falske branding bruger e-mails .icu-domæner i afsenderens adresse.

I dette tilfælde valgte personen bag kampagnen at bruge Cobalt Strike. Kommercielt tilgængeligt som et licenseret softwareværktøj, der typisk bruges til penetrationstest, er Cobalt Strike blevet koopereret af cyberkriminelle for at installere malware.

Den falske e-mail, der først og fremmest sendes til tyske it-servicevirksomheder, lover en skattemæssig tilbagebetaling i 2019 og beder modtageren om at åbne et vedhæftet Word-dokument for at indsende et krav om refusion. I stedet for åbner dokumentet en Office-makro, der udfører et PowerShell-script, der derefter downloader og installerer Maze ransomware.

Senere i oktober fandt Proofpoint en lignende kampagne, der kørte i Italien. Denne gang brugte e-mails branding fra det italienske skatteministerium, men også med .icu-domæner i afsenderens adresse. Som med de e-mails, der er sendt til amerikanske virksomheder, bruger disse påståede RSA SecurID-nøgler til at give et loft af legitimitet.

I meddelelsen hedder det, at modtageren skal åbne og læse det vedlagte dokument for at undgå skattemæssig vurdering og sanktioner. Men endnu en gang udløser Word-dokumentet Office-makroen, der derefter indlæser et PowerShell-script, der installerer Maze-ransomware.

Sæsonbestemte lokker

Cyberkriminelle har brugt finansrelaterede lokker på sæsonbestemt grundlag, typisk implementering af mere skattemæssige phishing-e-mails i tide med de årlige frister for indgivelse af skatter i forskellige lande, ifølge rapporten.

Opdaget i 2017 brugte disse kampagner social engineering til at hjælpe med at levere bank-trojanere og sprede ransomware. I 2018 opdagede forskere ved Proofpoint phishing-kampagner i USA med skatterelaterede lokker og IRS-branding.

I sin søgen efter at spore malware, analyserer Proofpoint mere end fem milliarder e-mail-beskeder, hundreder af millioner af sociale medier-indlæg og mere end 250 millioner ondsindede prøver hver dag, siger virksomheden.

For at identificere og analysere den seneste kampagne, der er beskrevet i rapporten, så Proofpoint på forskellige egenskaber som infrastruktur, lokkestiler og makrokode. Som et resultat fandt virksomheden, at handlingerne ikke overlappede dem med eksisterende trusselsaktører, hvilket indikerede, at dette var en ny gruppe i spil. Nogle af de afslørede beviser tyder på, at skuespilleren er russisk-talende.

”Selvom disse kampagner er små i mængde, er de i øjeblikket vigtige for deres misbrug af betroede mærker, herunder regeringsorganer, og for deres relativt hurtige ekspansion over flere geografier, ” sagde Christopher Dawson, Threat Intelligence Lead for Proofpoint.

"Til dato ser gruppen ud til at have målrettede organisationer i Tyskland, Italien og senest USA, der leverer geotarget nyttelast med lokker på lokale sprog, " tilføjede Dawson. "Vi vil følge denne nye skuespiller nøje i betragtning af deres tilsyneladende globale forhåbninger, veludviklet social engineering og stadig stigende skala."

Hvordan kan organisationer bedre beskytte sig selv og deres ansatte mod denne type malware og ransomware? Dawson delte følgende råd:

"Da trusselsaktører i stigende grad bliver mere målrettede i deres angreb gennem social engineering og fortsætter med at forfølge individuelle brugere snarere end infrastruktur, er det kritisk, at organisationer flytter deres fokus til en angribers syn på deres brugere og identificerer deres mest udsatte medarbejdere baseret på målretning af hyppighed og sværhedsgrad af angreb såvel som deres rolle, systemadgang og risikoeksponering, ”sagde Dawson.

"Dette menneskecentriske synspunkt vil give organisationer mulighed for at implementere det passende niveau for beskyttelse og afbødning for disse brugere og afsætte ressourcer til det sted, hvor de er mest nødvendigt, " tilføjede Dawson.

"Brugere bør henvende sig til alle uopfordrede e-mails med forsigtighed, især dem, der beder brugeren om at handle, som at downloade / åbne en vedhæftet fil, klikke på et link eller indtaste legitimationsoplysninger. endepunkt, kombineret med brugeruddannelse er kritiske for organisationer, der ønsker at beskytte sig mod disse trusler. "

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2021 | mobilegn.com