回调网络钓鱼操作已经发展了他们的社会工程方法,让旧的虚假订阅在攻击的第一阶段引诱,但转而假装帮助受害者处理感染或黑客攻击。
成功的攻击使用恶意软件加载程序感染受害者,该加载程序会丢弃其他有效负载,例如远程访问木马、间谍软件和勒索软件。
回调网络钓鱼攻击是伪装成高价订阅的电子邮件活动,旨在导致收件人混淆,因为他们从未订阅过这些服务。
电子邮件中附有一个电话号码,收件人可以拨打以了解有关此“订阅”的更多信息并取消它。但是,这会导致在受害者设备上部署恶意软件的社会工程攻击,并可能引发 全面的勒索软件攻击。
根据 Trellix 的一份新报告,最新的活动针对美国、加拿大、英国、印度、中国和日本的用户。
这一切都始于 BazarCall
回调网络钓鱼攻击于 2021 年 3 月首次出现,名为“ BazarCall ”,威胁参与者开始发送电子邮件,伪装成订阅流媒体服务、软件产品或医疗服务公司,如果他们想取消,则提供电话号码拨打电话此次购买。
当收件人拨打该号码时,威胁参与者会引导他们完成一系列步骤,这些步骤会导致下载恶意 Excel 文件,该文件将安装 BazarLoader 恶意软件。
BazarLoader 将提供对受感染设备的远程访问,提供对公司网络的初始访问,并最终导致 Ryuk 或 Conti 勒索软件攻击。
随着时间的推移,回调网络钓鱼攻击已 成为一种重大威胁 ,因为它们现在被众多黑客组织使用,包括 Silent Ransom Group、 Quantum和 Royal 勒索软件/勒索操作。
新的社会工程技巧
在最近的回拨网络钓鱼活动中,社会工程流程发生了变化,尽管网络钓鱼电子邮件中的诱饵保持不变,即支付给 Geek Squad、诺顿、迈克菲、贝宝或微软的发票。
一旦收件人通过提供的号码致电诈骗者,他们就会被要求提供发票详细信息以进行“验证”。接下来,诈骗者声明系统中没有匹配的条目,并且受害者收到的电子邮件是垃圾邮件。
然后,假定的客户服务代理警告受害者,垃圾邮件可能导致他们的机器感染了恶意软件,并提议将他们与技术专家联系起来。
过了一会儿,另一个骗子打电话给受害者,帮助他们感染病毒,并将他们引导到一个网站,在那里他们下载伪装成杀毒软件的恶意软件。
以 PayPal 为主题的网络钓鱼攻击中使用的另一种变体是询问受害者是否使用 PayPal,然后据称检查他们的电子邮件是否受到攻击,声称他们的帐户被分布在全球各地的八台设备访问。
在安全软件订阅更新活动中,诈骗者声称预装受害者笔记本电脑的安全产品已过期并自动更新以延长保护。
最终,诈骗者将受害者引导至取消和退款门户,这也是恶意软件投放网站。
所有这些活动的结果是说服受害者下载恶意软件,这可能是 BazarLoader、远程访问木马、Cobalt Strike 或其他一些远程访问软件,具体取决于威胁参与者。
远程控制设备
Trellix 说,最近这些活动中的大多数都在推送名为“support.Client.exe”的 ClickOnce 可执行文件,该可执行文件在启动时会安装 ScreenConnect 远程访问工具。
Trellix 解释说: “攻击者还可以显示伪造的锁定屏幕,使受害者无法访问系统,攻击者可以在受害者不知道的情况下执行任务 。 ”
在安全分析师看到的某些案例中,诈骗者打开了虚假的取消表格,并要求受害者填写他们的个人详细信息。
最后,为了获得退款,受害者被要求登录他们的银行账户,然后他们被诱骗向诈骗者汇款。
“这是通过锁定受害者的屏幕并发起转出请求,然后在交易需要 OTP(一次性密码)或二级密码时解锁屏幕来实现的,”Trellix 报告解释说。
“受害者还会看到一个虚假的退款成功页面,以说服他相信他们已收到退款。诈骗者还可能向受害者发送一条短信,其中包含收到的假钱信息,作为防止受害者怀疑的额外策略任何欺诈行为。”
当然,赔钱只是受感染用户可能面临的问题之一,因为威胁参与者可以随时投放更多、更恶劣的恶意软件,长期监视它们并窃取高度敏感的信息。
