هکرها برای کلاهبرداری از چندین آژانس فدرال ایالات متحده از ابزارهای میز کمک از راه دور قانونی استفاده کردند

زمانی که هدف‌ها با شماره تماس می‌گیرند یا از دامنه بازدید می‌کنند، متقاعد می‌شوند که نرم‌افزار میز کمک RMM قانونی را از یک دامنه مرحله دوم، CISA با نام‌های خاص ScreenConnect و AnyDesk دانلود کنند. بازیگران بد از فایل های اجرایی قابل حمل برای دور زدن حفاظت های امنیتی استفاده می کنند که مانع از نصب نرم افزار توسط کارمندان می شود. فایل‌های اجرایی قابل حمل، فایل‌های exe هستند که بدون نصب بر روی رایانه اجرا می‌شوند و اکثر نرم‌افزارهای اشتراک‌گذاری دسکتاپ این موارد را دارند.

در این اخطار شبکه‌های خاص FCEB که ممکن است قربانی شده باشند، ذکر نشده است، و همچنین اشاره ای به خسارات یا خسارات مالی نشده است. این عمدتاً یک هشدار برای آگاه کردن آژانس‌ها و نحوه کاهش خطر بود. CISA اقدامات مدیریتی پیشگیرانه ساده مانند مسدود کردن ایمیل‌های فیشینگ، ممیزی ابزارهای دسترسی از راه دور، بررسی گزارش‌ها برای نمونه‌های اجرای RMM و سایر موارد بهداشت امنیتی عقل سلیم را فهرست می‌کند. CISA شامل یک اینفوگرافیک آموزنده، اگر نه تا حدودی ترسناک، برای علاقه مندان بود.



منبع

در سپتامبر 2022، CISA در چندین شبکه FCEB ممیزی انجام داد و متوجه شد که آنها قربانی یک “کمپین فیشینگ گسترده و با انگیزه مالی” شده اند. یک ماه بعد، محققان امنیتی در Silent Push از یک کمپین تروجان “typosquatting” گزارش دادند که شامل چندین دامنه قابل اعتماد از جمله PayPal، Microsoft، Geek Squad و Amazon بود. روز چهارشنبه، CISA تایید کرد که چندین کارمند فدرال درگیر کمپین فیشینگ با موضوع میز کمک شده اند.

بخونید:  دانلود WizTree 4.13 | TechSpot

“[We] در این هشدار آمده است که حداقل از ژوئن 2022، بازیگران مجرم سایبری ایمیل‌های فیشینگ با موضوع میز کمک به آدرس‌های ایمیل شخصی و دولتی کارکنان فدرال FCEB ارسال کرده‌اند.

TL;DR: آژانس امنیت سایبری و امنیت زیرساخت (CISA)، آژانس امنیت ملی (NSA) و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی (MS-ISAC) هشدار مشترکی صادر کردند مبنی بر اینکه عوامل تهدید (TA) کمپین هک/فیشینگ را تشدید می کنند. استفاده از نرم افزار نظارت و مدیریت از راه دور قانونی (RMM). CISA خاطرنشان می کند که حملات متعددی را در شبکه های شعبه اجرایی غیرنظامی فدرال (FCEB) کشف کرده است.


با کلاهبرداران با آتش مبارزه کنید.

هنگامی که TA ها از طریق نرم افزار RMM به هدف دسترسی پیدا می کنند، سعی می کنند کلاهبرداری بازپرداخت را اجرا کنند. این حمله شامل متقاعد کردن قربانی برای دسترسی به حساب بانکی خود، سپس تغییر صفحه نمایش خلاصه حساب است تا به نظر برسد که شرکت پول زیادی را بازپرداخت کرده است. سپس کلاهبردار از هدف می خواهد که وجوه اضافی را پس بگیرد.

کلاهبرداری ها کمی پیچیده تر از ایمیل های فیشینگ معمولی هستند که اکثر مردم نادیده می گیرند. ایمیل‌هایی که «فیشینگ پاسخ به تماس» نامیده می‌شوند، مانند ایمیل «جوخه گیک»، قانونی به نظر می‌رسند. ایمیل‌ها به شکل یک اطلاعیه تمدید خودکار اشتراک با قیمت بالا هستند و شماره‌ای را برای تماس برای لغو شارژ خودکار یا پیوندی به یک «دامنه مخرب مرحله اول» فهرست می‌کنند. اینها صفحاتی هستند که از مشاغل قانونی مانند پی پال تقلید می کنند. URL ها نیز پنهان هستند، برای مثال paypalsec.com.

بخونید:  Threads همچنین محدودیت های نرخ را برای مبارزه با ربات های هرزنامه اعمال می کند

CISA گفت: «هجوم‌کنندگان از نرم‌افزار دسترسی از راه دور برای تغییر اطلاعات خلاصه حساب بانکی قربانی استفاده کردند تا نشان دهند که آنها به اشتباه مقدار اضافی پول را بازپرداخت کرده‌اند، سپس به قربانی دستور داده‌اند که این مبلغ اضافی را «بازپرداخت» کند.