0
0
Um agente de ameaças chamado Luna Moth tem aproveitado a engenharia social e software legítimo para roubar dados confidenciais e extorquir dinheiro de pequenas e médias empresas.
O grupo está evitando o uso de ransomware e, em vez disso, conta com funcionários direcionados ligando para um número de telefone operado pelos invasores e convencendo-os a instalar uma ferramenta de acesso remoto.
“O phishing de retorno de chamada, também conhecido como entrega de ataque orientado por telefone (TOAD), é um ataque de engenharia social que exige que um ator de ameaça interaja com o alvo para atingir seus objetivos. Esse estilo de ataque consome mais recursos, mas é menos complexo do que os ataques baseados em script, e tende a ter uma taxa de sucesso muito maior”, observaram os pesquisadores da Unidade 42 da Palo Alto Networks .
As falsas faturas de assinatura
O “gancho” inicial – e obviamente é bom, já que o grupo o usa há algum tempo – é um e-mail de phishing feito para parecer que vem de um negócio legítimo (uma academia, Master Class, Duolingo, etc. ), informando que o destinatário subscreveu um serviço e que o pagamento do mesmo será efetuado através do método de pagamento previamente especificado pelo destinatário.
O corpo do e-mail de phishing não contém links ou anexos maliciosos para acionar soluções de segurança de e-mail. Em vez disso, ele contém um ou mais números de telefone por meio dos quais o destinatário pode contestar a assinatura e um número de confirmação de nove ou 10 dígitos usado pelos agentes da ameaça para identificar o destinatário específico. (Como alternativa, essas informações estão em um arquivo PDF anexado).
“O invasor registrou todos os números que usou por meio de um provedor de Voz sobre IP (VoIP). Quando a vítima ligou para um dos números do invasor, ela foi colocada em uma fila e, eventualmente, conectada a um agente que enviou um convite de assistência remota para a ferramenta de suporte remoto Zoho Assist”, explicaram os pesquisadores .
“Depois que a vítima se conectou à sessão, o invasor assumiu o controle do teclado e do mouse, ativou o acesso à área de transferência e apagou a tela para ocultar suas ações”.
Sabe-se que o agente da ameaça instala o software de suporte remoto Syncro para persistência e ferramentas de gerenciamento de arquivos de código aberto Rclone ou WinSCP para exfiltração de dados.
“Nos casos em que a vítima não tinha direitos administrativos em seu sistema operacional, o invasor ignorava a instalação do software para estabelecer a persistência. Em vez disso, os invasores baixaram e executaram o WinSCP Portable, que não requer privilégios administrativos e pode ser executado dentro do contexto de segurança do usuário”, acrescentaram os pesquisadores.
Depois de fazer root no sistema e extrair dados confidenciais, o invasor envia um e-mail de extorsão, ameaçando vender ou vazar os dados se não for pago.
Metas corporativas
As atividades do grupo de extorsão Luna Moth foram documentadasanteriormente pela equipe de RI da Sygnia , e suas táticas estão evoluindo.
De acordo com os pesquisadores da Unit 42, o grupo começou focando em indivíduos em pequenas e médias empresas do setor jurídico, mas agora expandiu seu grupo de vítimas para incluir indivíduos em empresas maiores no setor de varejo. Eles esperam mais expansão nessa frente e, em geral, outros atores de ameaças para montar campanhas de callback phishing, já que esse tipo de esquema é relativamente barato de realizar e os valores extorquidos podem ser consideráveis.
“As organizações em setores atualmente visados devem estar particularmente vigilantes para evitar se tornarem vítimas”, observaram, mas também apontaram que todas as organizações devem investir em:
- Programas de treinamento de conscientização sobre segurança cibernética com foco particular em faturas inesperadas, bem como solicitações para estabelecer uma ligação ou instalar software
- Ferramentas de segurança cibernética projetadas para detectar e prevenir atividades anômalas (por exemplo, instalação de software não reconhecido ou exfiltração de dados confidenciais).
FONTE: HELPNET SECURITY