回拨网络钓鱼团伙已经改变了其社会工程方法,将原来的虚假订阅诱饵继续用于攻击的第一阶段,但随后转而假装帮助受害者处理感染或黑客攻击。
得逞的攻击使用恶意软件加载程序感染受害者,该加载程序会投放另外的攻击载荷,比如远程访问木马、间谍软件和勒索软件。
回拨网络钓鱼攻击是伪装成高价订阅的电子邮件活动,旨在让收件人混淆,因为他们从未订阅过这些服务。
电子邮件中附有一个电话号码,收件人可以拨打该号码,以了解有关此“订阅”的更多信息并取消它。然而这会导致社会工程攻击,从而在受害者的设备上部署恶意软件,并可能引发全面的勒索软件攻击。
据Trellix的一份新报告显示,最新的活动针对美国、加拿大、英国、印度、中国和日本的用户。
图1. 显示最近的BazarCall活动目标的热图(来源:Trellix)
这一切都始于BazarCall
回拨网络钓鱼攻击在2021年3月首次以“BazarCall”的名义出现,威胁分子开始发送电子邮件,佯称是订阅流媒体服务、软件产品或医疗服务公司。如果收件人想取消订阅,可拨打提供的电话号码以便联系。
图2. 原始的BazarCall回拨网络钓鱼电子邮件
收件人拨打该号码后,威胁分子就会逐步引导他们完成一系列步骤,最终导致下载恶意 Excel文件,该文件会安装BazarLoader恶意软件。
BazarLoader让攻击者可以远程访问受感染的设备,并提供对公司网络的初始访问,最终导致Ryuk或Conti勒索软件攻击。
久而久之,回拨网络钓鱼攻击已成为一种重大威胁,因为它们现在被众多黑客组织使用,包括Silent Ransom Group、Quantum和Royal勒索软件/勒索团伙。
新的社会工程伎俩
在最近的回拨网络钓鱼活动中,社会工程伎俩已发生了变化,不过网络钓鱼电子邮件中的诱饵保持不变,这个诱饵就是发给Geek Squad、诺顿、迈克菲、PayPal或微软的付款发票。
图3. Geek Squad回拨网络钓鱼电子邮件示例(来源:BleepingComputer)
一旦收件人通过提供的号码致电诈骗者,他们会被要求提供发票详细信息进行“验证”。接下来,诈骗者声明系统中没有匹配的信息,声称受害者收到的是垃圾邮件。
然后,所谓的客户服务代理会提醒受害者:垃圾邮件可能已导致他们的机器感染了恶意软件,提议为受害者介绍技术专家。
一会儿后,另一个骗子打电话给受害者,声称帮助他们处理感染,并将他们引导到一个网站,在那里受害者下载伪装成杀毒软件的恶意软件。
以PayPal为主题的网络钓鱼攻击中使用了另一种变体,即询问受害者是否使用PayPal,然后检查他们的电子邮件是否受到攻击,声称他们的帐户已被分布在全球各地的八台设备访问。
在安全软件订阅续订活动中,诈骗者声称预装在受害者笔记本电脑上的安全产品已过期失效,自动续订以延长保护。
最终,诈骗者将受害者引导至取消和退款门户网站,这同样是投放恶意软件的网站。
图4. 最近BazarCall活动中使用的各个网站(来源:Trellix)
所有这些活动的结果是说服受害者下载恶意软件,而恶意软件可能是BazarLoader、远程访问木马、Cobalt Strike或其他某种远程访问软件,具体取决于威胁分子。
远程控制设备
Trellix表示,最近这些活动中的大多数在推送一个名为“support.Client.exe”的ClickOnce可执行文件,该可执行文件在启动后会安装ScreenConnect远程访问工具。
Trellix解释道,攻击者还可以显示虚假的锁屏,使受害者无法访问系统,攻击者可以在受害者不知道的情况下执行任务。
在安全分析师看到的一些情况下,诈骗者打开了虚假的取消表单,要求受害者填写个人详细信息。最后,为了获得退款,受害者被要求登录到他们的银行账户,一旦上当受骗,就向诈骗者汇款。
Trellix的报告解释,这是通过下面这一波操作来实现的:先锁定受害者的屏幕,并发起转账请求,然后在交易需要OTP(一次性密码)或二级密码时解锁屏幕。受害者还会看到一个虚假的退款成功页面,好让他相信已收到退款。诈骗者还可能向受害者发送一条短信,附有款已收到的虚假信息,这个花招防止受害者怀疑任何欺诈行为。
当然,金钱损失只是受感染用户可能面临的问题之一,因为威胁分子可以随时投放更多更恶劣的恶意软件,长期监视用户,并窃取高度敏感的信息。
参考及来源:https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-evolve-their-social-engineering-tactics/