Phishing-Angriffe entwickeln sich ständig weiter und die neuesten Versionen sind die bisher gefährlichsten, so ein neuer Bericht.
Cybersicherheitsforscher von Trellix haben kürzlich eine fortgeschrittene Version des Callback-Angriffsstils entdeckt, der, wenn er erfolgreich durchgeführt wird, den Opfern ihr Geld raubt, ihre Computer mit Ransomware sperrt und ihre Identität stiehlt (öffnet in neuem Tab) Daten im Prozess.
Callback-Angriffe sind genau so, wie sie sich anhören: Die Betrüger rufen das Opfer zurück und führen den letzten Schlag per Telefon aus.
Herunterladen des (Anti-)Virus
Diese spezielle Kampagne beginnt wie üblich mit einer E-Mail. Das Opfer erhält eine E-Mail-Bestätigung eines nie getätigten Kaufs, die eine Telefonnummer enthält, mit der die Person die Bestellung „stornieren“ kann.
Normalerweise würde hier ein Angreifer zuschlagen, indem er das Opfer mit dem Telefonanruf dazu verleitet, Software für den Fernzugriff herunterzuladen, und diesen Zugriff dann nutzt, um Malware, Ransomware oder andere Viren zu installieren.
Diese Kampagne geht jedoch noch einen Schritt weiter. Wenn die Opfer die angegebene Nummer anrufen, behauptet die Person am anderen Ende, die Datenbank überprüft zu haben, und teilt ihnen mit, dass es sich bei der E-Mail um Spam handelt. Dann schlagen sie vor, dass der Computer des Opfers mit einem Virus infiziert ist, und teilen ihm mit, dass sich später am Tag ein „technischer Spezialist“ melden wird.
Der zweite Anruf führt das Opfer dazu, gefälschte Antivirenprogramme auf seinen Endpunkt herunterzuladen, der eine ausführbare ClickOnce-Datei mit dem Namen support.Client.exe verteilt, die das Fernzugriffstool ScreenConnect installiert.
„Der Angreifer kann auch einen gefälschten Sperrbildschirm anzeigen und das System für das Opfer unzugänglich machen, wodurch der Angreifer Aufgaben ausführen kann, ohne dass das Opfer davon Kenntnis hat“, sagte Trellix.
Die Forscher haben auch einige Varianten der Kampagne entdeckt, von denen eine gefälschte Kündigungsformulare verteilt, über die die Opfer ihre persönlichen Daten teilen. Um die Rückerstattung zu erhalten, müssen sich die Opfer bei ihrem Bankkonto anmelden. Am Ende werden sie dazu verleitet, Geld an die Betrüger zu senden.
„Dies wird erreicht, indem der Bildschirm des Opfers gesperrt und eine Transfer-Out-Anforderung initiiert und der Bildschirm dann entsperrt wird, wenn die Transaktion ein OTP (One Time Password) oder ein sekundäres Passwort erfordert“, erläuterte Trellix.
„Dem Opfer wird auch eine gefälschte Rückerstattungsseite angezeigt, um es davon zu überzeugen, dass es die Rückerstattung erhalten hat. Der Betrüger kann als zusätzliche Taktik auch eine SMS mit einer Nachricht über den Erhalt des gefälschten Geldes an das Opfer senden, um das Opfer am Verdacht zu hindern irgendein Betrug.”
Über Piepender Computer (öffnet in neuem Tab)