Una campagna di callback di phishing sta simulando importanti società di sicurezza informatica per cercare di indurre le potenziali vittime a fare una telefonata. Obiettivo: far scaricare loro un malware.
A identificare la campagna di callback di phishing sono stati gli esperti di CrowdStrike Intelligence che hanno inviato un alert ai loro clienti avendo scoperto di essere una delle società di sicurezza ad essere state impersonate.
L’e-mail sembra provenire da importanti società di sicurezza che comunicano di aver identificato un potenziale compromesso nella rete del destinatario, implicando che l’azienda del destinatario è stata violata e insistendo affinché la vittima chiami il numero di telefono fornito nel messaggio. Questa campagna sfrutta tattiche di ingegneria sociale simili a quelle impiegate nelle recenti campagne di callback, inclusa la campagna BazarCall 2021 di WIZARD SPIDER.
Storicamente, gli operatori delle campagne di callback tentano di convincere le vittime a installare software RAT commerciale per ottenere un punto d’appoggio iniziale sulla rete. È molto probabile che questa campagna includerà strumenti comuni di amministrazione remota (RAT) per l’accesso iniziale, strumenti di penetration testing pronti all’uso per il movimento laterale e l’implementazione di ransomware o estorsioni di dati.
“Sebbene CrowdStrike Intelligence non possa attualmente confermare la variante in uso, gli operatori di callback probabilmente utilizzeranno il ransomware per monetizzare la propria operazione. Questa valutazione viene effettuata con moderata sicurezza, poiché le campagne BazarCall del 2021 porterebbero alla fine al ransomware Conti, sebbene questo ransomware-as-a-service (RaaS) abbia recentemente cessato le operazioni. Questa è la prima campagna di callback identificata che impersona entità di sicurezza informatica e ha un potenziale successo maggiore data la natura urgente delle violazioni informatiche”, conclude CrowdStrike.
