小心社交工程!網釣信件以客服中心騙用戶在 PC 上安裝惡意程式
道高一尺,魔高一丈,釣魚信件歹徒讓用戶相信他們不知何時訂閱了串流影片服務,迫使他們輸入電話號碼來取消,然後一名「客服人員」引導他們在 Windows 電腦上安裝 BazaLoader 程式。
BazaLoader 進入 Windows 電腦後即會在機器上開了個後門,可作為植入其他惡意程式,包括勒索軟體的敲門磚。過去 Ryuk 經常透過 BazaLoader 下載,表示 BazaLoader 成功的攻擊往往會帶來毁滅性後果。
最近一波 BazaLoader 攻擊則是仰賴人為互動,以及錯縱複雜的攻擊鏈,後者大幅降低惡意程式被偵測到的機率。
安全廠商 Proofpoint 安全研究人員分析,這波網釣攻擊第一階段發送數萬封號稱來自 BravoMovies 的釣魚信件,其實 BravieMoives 是歹徒捏造的串流影片服務。
用戶連到的網站相當逼真,而且歹徒甚至還利用網路上的公開圖片製作成假影片,但網站上有眾多拼字錯誤,用戶只要仔細看就會發現馬腳。
用戶接到的釣魚信件宣稱他們註冊了影片的試用服務,之後會一個月收費 39.99 美元,但用戶只要撥打技術支援電話到客服中心取消訂閱服務就不必付錢。
一旦用戶撥電話到「客服中心」,客服人員會親切地引領他們前往「取消訂閱」網站取消訂閱—但實際上,不知情的受害者被引導到惡意網站點入連結,然後在電腦上下載 Excel 試算表。這個 Excel 表內建巨集,一經啟用,即會悄悄在電腦上安裝 BazaLoader。
雖然這招攻擊者要多花一些工夫,導引用戶從非信件中環境下載惡意程式。因為信件中的附件很容易被威脅偵測軟體封鎖,但讓使用者主動打客戶電話,就可以繞過安全防護,使惡意程式的下載和安裝都更難以偵測。
社交工程是此類攻擊鏈的成功關鍵,駭客可藉此誘使收信者採取行動,完成整個攻擊鏈,進而將惡意程式安裝到電腦上,Proofpoint 威脅研究和偵測處長 Sherrod DeGrippo 指出。
資安部門應訓練用戶辨識和通報惡意釣魚郵件的能力。另外,一封宣稱如果你不打電話,信用卡帳戶會被收費的信件會造成緊張,這是釣魚信件常用技侕,用戶一著急就會失去理智而降低戒心,而被歹徒牽著鼻子走。
來源:ZDNet