Você está visualizando atualmente Campanha em Andamento Bombardeia Empresas com Emails de Spam e Ligações Telefônicas

Campanha em Andamento Bombardeia Empresas com Emails de Spam e Ligações Telefônicas

Pesquisadores de cibersegurança descobriram uma campanha contínua de engenharia social que bombardeia empresas com e-mails de spam com o objetivo de obter acesso inicial aos seus ambientes para exploração posterior.

O incidente envolve um ator ameaçador sobrecarregando o e-mail de um usuário com lixo e ligando para o usuário, oferecendo assistência. O ator ameaçador induz os usuários afetados a baixar software de monitoramento e gerenciamento remoto como AnyDesk ou utilizar o recurso de Assistência Rápida integrado à Microsoft para estabelecer uma conexão remota.

A nova campanha está em andamento desde o final de abril de 2024, com os e-mails consistindo principalmente de mensagens de confirmação de inscrição em boletins de organizações legítimas, com o objetivo de sobrecarregar as soluções de proteção de e-mail. Os usuários afetados são então abordados por chamadas telefônicas se passando pela equipe de TI da empresa, enganando-os a instalar um software de desktop remoto sob o pretexto de resolver os problemas de e-mail.

O acesso remoto ao computador é posteriormente aproveitado para baixar cargas adicionais para colher credenciais e manter a persistência nos hosts. Essa operação é realizada por meio da execução de vários scripts em lote, um dos quais também estabelece contato com um servidor de comando e controle (C2) para baixar uma cópia legítima do OpenSSH para Windows e, por fim, lançar um shell reverso para o servidor.

Em um incidente observado pela empresa de cibersegurança, os atores por trás da campanha tentaram sem sucesso implantar beacons Cobalt Strike em outros ativos dentro da rede comprometida. Embora não haja evidências de ransomware sendo executado como parte da campanha, a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores de ransomware Black Basta.

A cadeia de ataque também foi utilizada para fornecer ferramentas adicionais de monitoramento e gerenciamento remoto, como o ConnectWise ScreenConnect, bem como um cavalo de Troia de acesso remoto chamado NetSupport RAT, recentemente utilizado por atores do FIN7 como parte de uma campanha de malvertising.

Esses ataques exemplificam a importância da proteção e da vigilância contínuas contra ameaças cibernéticas em evolução.