Sofisticirana phishing kampanja usmjerena na Amerikance trenutno kruži putem lažnih e-mailova Uprave za socijalno osiguranje (SSA).
Ove uvjerljivo napisane poruke obavještavaju primaoce da je njihov Izvod o socijalnom osiguranju dostupan za preuzimanje, potičući ih da kliknu na priloženu datoteku.
.webp)
Naizgled legitimna komunikacija nosi službeni SSA brend i formatiranje što prosječnim korisnicima otežava identifikaciju kao lažnu.
Kada korisnici slijede upute, nesvjesno preuzimaju izvršnu datoteku prikrivenu nazivima poput „ReceiptApirl2025Pdfc.exe“ ili „SSAstatment11April.exe“.
Uprkos ovim bezazlenim nazivima, datoteke zapravo sadrže legitimni alat za daljinski pristup pod nazivom ScreenConnect koji napadačima daje potpunu kontrolu nad sistemima žrtava.
Istraživači Malwarebytes-a identifikovali su grupu prijetnji pod nazivom “Molatori” koja stoji iza ove kampanje, nazvane po domenama koje koriste za hostovanje malicioznih ScreenConnect klijenata.
Čini se da je grupa prvenstveno motivirana finansijskim prevarama, pristupom bankovnim podacima i ličnim identifikacijskim informacijama nakon što dobiju pristup sistemu.
Napad koristi nekoliko tehničkih prednosti koje otežavaju otkrivanje.
Sajber kriminalci distribuišu svoje phishing e-poruke sa kompromitovanih WordPress stranica, osiguravajući da domene pošiljaoca izgledaju legitimno.
Osim toga, ugrađuju sadržaj e-pošte kao slike kako bi spriječili učinkovito skeniranje sigurnosnim filterima e-pošte.
Nakon instalacije, ScreenConnect – legitimni alat za udaljenu administraciju – pruža napadačima sveobuhvatan pristup sistemu.
Legitimni status alata otežava otkrivanje od strane sigurnosnih rješenja, a istovremeno napadačima daje mogućnosti pokretanja skripti, izvršavanja naredbi, prenosa datoteka i instaliranja dodatnog malicioznog softvera bez znanja korisnika.
Mehanizam zaraze je posebno podmukao jer iskorištava povjerenje u vladine institucije.
Nakon instalacije, ScreenConnect klijent uspostavlja vezu s komandnim domenima, uključujući atmolatori.icu, gomolatori.cyou i nekoliko sličnih varijacija.
Malwarebytes detektuje ove sumnjive instance kao RiskWare.ConnectWise.CST i blokira veze sa povezanim domenama.
Izvor: CyberSecurityNews
