信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者/布加迪。

回?fù)芫W(wǎng)絡(luò)釣魚團(tuán)伙已經(jīng)改變了其社會工程方法，將原來的虛假訂閱誘餌繼續(xù)用于攻擊的第一階段，但隨后轉(zhuǎn)而假裝幫助受害者處理感染或黑客攻擊。

得逞的攻擊使用惡意軟件加載程序感染受害者，該加載程序會投放另外的攻擊載荷，比如遠(yuǎn)程訪問木馬、間諜軟件和勒索軟件。

回?fù)芫W(wǎng)絡(luò)釣魚攻擊是偽裝成高價(jià)訂閱的電子郵件活動，旨在讓收件人混淆，因?yàn)樗麄儚奈从嗛嗊^這些服務(wù)。

電子郵件中附有一個電話號碼，收件人可以撥打該號碼，以了解有關(guān)此“訂閱”的更多信息并取消它。然而這會導(dǎo)致社會工程攻擊，從而在受害者的設(shè)備上部署惡意軟件，并可能引發(fā)全面的勒索軟件攻擊。

據(jù)Trellix的一份新報(bào)告顯示，最新的活動針對美國、加拿大、英國、印度、中國和日本的用戶。

圖1.顯示最近的BazarCall活動目標(biāo)的熱圖（來源：Trellix）

這一切都始于BazarCall

回?fù)芫W(wǎng)絡(luò)釣魚攻擊在2021年3月首次以“BazarCall”的名義出現(xiàn)，威脅分子開始發(fā)送電子郵件，佯稱是訂閱流媒體服務(wù)、軟件產(chǎn)品或醫(yī)療服務(wù)公司。如果收件人想取消訂閱，可撥打提供的電話號碼以便聯(lián)系。

圖2.原始的BazarCall回?fù)芫W(wǎng)絡(luò)釣魚電子郵件

收件人撥打該號碼后，威脅分子就會逐步引導(dǎo)他們完成一系列步驟，最終導(dǎo)致下載惡意Excel文件，該文件會安裝BazarLoader惡意軟件。

BazarLoader讓攻擊者可以遠(yuǎn)程訪問受感染的設(shè)備，并提供對公司網(wǎng)絡(luò)的初始訪問，最終導(dǎo)致Ryuk或Conti勒索軟件攻擊。

久而久之，回?fù)芫W(wǎng)絡(luò)釣魚攻擊已成為一種重大威脅，因?yàn)樗鼈儸F(xiàn)在被眾多黑客組織使用，包括Silent Ransom Group、Quantum和Royal勒索軟件/勒索團(tuán)伙。

新的社會工程伎倆

在最近的回?fù)芫W(wǎng)絡(luò)釣魚活動中，社會工程伎倆已發(fā)生了變化，不過網(wǎng)絡(luò)釣魚電子郵件中的誘餌保持不變，這個誘餌就是發(fā)給Geek Squad、諾頓、邁克菲、PayPal或微軟的付款發(fā)票。

圖3.Geek Squad回?fù)芫W(wǎng)絡(luò)釣魚電子郵件示例（來源：BleepingComputer）

一旦收件人通過提供的號碼致電詐騙者，他們會被要求提供發(fā)票詳細(xì)信息進(jìn)行“驗(yàn)證”。接下來，詐騙者聲明系統(tǒng)中沒有匹配的信息，聲稱受害者收到的是垃圾郵件。

然后，所謂的客戶服務(wù)代理會提醒受害者：垃圾郵件可能已導(dǎo)致他們的機(jī)器感染了惡意軟件，提議為受害者介紹技術(shù)專家。

一會兒后，另一個騙子打電話給受害者，聲稱幫助他們處理感染，并將他們引導(dǎo)到一個網(wǎng)站，在那里受害者下載偽裝成殺毒軟件的惡意軟件。

以PayPal為主題的網(wǎng)絡(luò)釣魚攻擊中使用了另一種變體，即詢問受害者是否使用PayPal，然后檢查他們的電子郵件是否受到攻擊，聲稱他們的帳戶已被分布在全球各地的八臺設(shè)備訪問。

在安全軟件訂閱續(xù)訂活動中，詐騙者聲稱預(yù)裝在受害者筆記本電腦上的安全產(chǎn)品已過期失效，自動續(xù)訂以延長保護(hù)。

最終，詐騙者將受害者引導(dǎo)至取消和退款門戶網(wǎng)站，這同樣是投放惡意軟件的網(wǎng)站。

圖4.最近BazarCall活動中使用的各個網(wǎng)站（來源：Trellix）

所有這些活動的結(jié)果是說服受害者下載惡意軟件，而惡意軟件可能是BazarLoader、遠(yuǎn)程訪問木馬、Cobalt Strike或其他某種遠(yuǎn)程訪問軟件，具體取決于威脅分子。

遠(yuǎn)程控制設(shè)備

Trellix表示，最近這些活動中的大多數(shù)在推送一個名為“support.Client.exe”的ClickOnce可執(zhí)行文件，該可執(zhí)行文件在啟動后會安裝ScreenConnect遠(yuǎn)程訪問工具。

Trellix解釋道，攻擊者還可以顯示虛假的鎖屏，使受害者無法訪問系統(tǒng)，攻擊者可以在受害者不知道的情況下執(zhí)行任務(wù)。

在安全分析師看到的一些情況下，詐騙者打開了虛假的取消表單，要求受害者填寫個人詳細(xì)信息。最后，為了獲得退款，受害者被要求登錄到他們的銀行賬戶，一旦上當(dāng)受騙，就向詐騙者匯款。

Trellix的報(bào)告解釋，這是通過下面這一波操作來實(shí)現(xiàn)的：先鎖定受害者的屏幕，并發(fā)起轉(zhuǎn)賬請求，然后在交易需要OTP（一次性密碼）或二級密碼時(shí)解鎖屏幕。受害者還會看到一個虛假的退款成功頁面，好讓他相信已收到退款。詐騙者還可能向受害者發(fā)送一條短信，附有款已收到的虛假信息，這個花招防止受害者懷疑任何欺詐行為。

當(dāng)然，金錢損失只是受感染用戶可能面臨的問題之一，因?yàn)橥{分子可以隨時(shí)投放更多更惡劣的惡意軟件，長期監(jiān)視用戶，并竊取高度敏感的信息。

本文翻譯自：https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-evolve-their-social-engineering-tactics/