Эксперты рассказали, как колл-центры вымогают деньги у компаний

Исследователи кибербезопасности из Palo Alto Network Unit 42 сообщают , что вымогательская кампания с обратным звонком , проводимая группировкой Luna Moth (также известной как Silent Ransom Group), нацелена на организации розничной торговли и юридические компании.

В обнаруженной кампании ( атака с обратным звонком ) злоумышленники используют легитимные инструменты управления системой для прямого взаимодействия с компьютером жертвы, чтобы извлечь данные. Поскольку это доверенные инструменты, они не обнаруживаются антивирусными продуктами.

Исследователи также ожидают роста фишинговых атак с обратным звонком из-за низкого риска обнаружения и возможности быстрой монетизации. По словам экспертов, кампания длится несколько месяцев и активно развивается.

Цепочка атак начинается с фишингового электронного письма на корпоративный email-адрес с прикрепленным счетом-фактурой в формате PDF, указывающим, что с кредитной карты получателя была снята плата за услугу (обычно на сумму менее $1000). Фишинговое письмо персонализировано для получателя, не содержит вредоносного контента и отправляется с использованием законной службы электронной почты. Это позволяет киберпреступникам обойти системы защиты электронной почты.

Пример фишингового письма

В счете указывается телефон, по которому звонит получатель и попадает в колл-центр, контролируемый злоумышленником. В этот момент подключается реальный сотрудник колл-центра. Под предлогом отмены подписки агент помогает жертве загрузить инструмент удаленного доступа, позволяющий злоумышленнику управлять компьютером жертвы.

В ходе кампании приходит письмо со ссылкой для установления удаленного соединения

Как только жертва подключается к сеансу, злоумышленник получает контроль над клавиатурой и мышью, доступ к буферу обмена. При этом хакер выключает экран, чтобы скрыть свои действия.

Как только злоумышленник выключает экран, он устанавливает программу удаленной поддержки Syncro для сохранения постоянства в системе и файловые менеджеры с открытым исходным кодом Rclone или WinSCP для скрытной эксфильтрации конфиденциальных данных.

После того, как данные украдены, злоумышленник отправляет электронное письмо, в котором требует, чтобы жертва заплатила выкуп, иначе киберпреступник опубликует украденную информацию. Если жертва не устанавливает контакт с нападающими, они выдвигают более агрессивные требования. В конечном итоге злоумышленники будут угрожать связаться с клиентами жертв и клиентами, идентифицированными с помощью украденных данных, чтобы усилить давление с целью соблюдения требований.