Согласно новому отчету, фишинговые атаки постоянно развиваются, и последние версии являются наиболее опасными.
Исследователи кибербезопасности Trellix недавно обнаружили расширенную версию атаки в стиле обратного вызова, которая в случае успеха крадет у жертв их деньги, блокирует их компьютеры с помощью программы-вымогателя и в процессе крадет идентификационные данные (откроется в новой вкладке).
Обратные атаки — это именно то, на что они похожи: мошенники перезванивают жертве и наносят последний удар по телефону.
Скачать (анти)вирус
Эта конкретная кампания начинается обычным образом, с электронной почты. Жертва получает электронное письмо, подтверждающее покупку, которую она никогда не совершала, включая номер телефона, который человек может использовать для «отмены» заказа.
Обычно злоумышленник наносит удар, используя телефонный звонок, чтобы заставить жертву загрузить программное обеспечение для удаленного доступа, а затем использовать этот доступ для установки вредоносных программ, программ-вымогателей или других вирусов.
Но эта кампания идет дальше. Когда жертвы звонят по указанному номеру, человек на другом конце утверждает, что проверил базу данных, и сообщает им, что электронное письмо является спамом. Затем они предполагают, что компьютер жертвы заражен вирусом, и им говорят, что «технический специалист» свяжется с ними позже в тот же день.
После второго телефонного звонка жертва загружает на свое устройство поддельные антивирусные программы, которые распространяют исполняемый файл ClickOnce с именем support.Client.exe, который устанавливает инструмент удаленного доступа ScreenConnect.
«Злоумышленник также может отобразить поддельный экран блокировки и сделать систему недоступной для жертвы, где злоумышленник может выполнять задачи без ведома жертвы», — сказал Трелликс.
Исследователи также обнаружили несколько вариантов кампании, один из которых распространяет поддельные формы отказа, через которые жертвы делятся своей личной информацией. Чтобы получить возмещение, жертвам необходимо войти в свой банковский счет. В конечном итоге их обманом заставляют отправлять деньги мошенникам.
«Это достигается путем блокировки экрана жертвы и инициирования исходящего запроса на передачу, а затем разблокировки экрана, когда для транзакции требуется OTP (одноразовый пароль) или дополнительный пароль», — уточнил Trellix.
«Жертве также предоставляется поддельная страница успешного возврата средств, чтобы убедить их поверить в то, что они получили возмещение. Мошенник может также отправить жертве текстовое сообщение о полученных поддельных деньгах в качестве дополнительной тактики, чтобы предотвратить мошенничество».
Через BleepingComputer (откроется в новой вкладке)