Η ομάδα hacking Luna Moth προσελκύει τα θύματα με μηνύματα ηλεκτρονικού “ψαρέματος” και συστήματα κοινωνικής μηχανικής προκειμένου να τους αποσπάσει χρήματα. Εάν το άτομο πέσει στην παγίδα της ομάδας, οι χάκερ μπαίνουν απομακρυσμένα στον υπολογιστή του, όπου στη συνέχεια κλέβουν τα data του. Επίσης, οι χάκερ απειλούν ότι θα διαρρεύσουν αυτές τις πληροφορίες δημοσίως, εκτός αν τους καταβληθούν λύτρα.

Δείτε επίσης: 2022: Το ένα τρίτο των οργανισμών παγκόσμια έχει παραβιαστεί τουλάχιστον 7 φορές

Οι ερευνητές κυβερνοασφάλειας της Unit 42 της Palo Alto Networks ανακάλυψαν ότι οι επιθέσεις “callback phishing” είναι επικίνδυνα επιτυχημένες. Εξαιτίας αυτού, η ανάπτυξη της υποδομής πίσω από αυτού του είδους τις επιθέσεις επεκτείνεται ραγδαία, καθώς οι εγκληματίες του κυβερνοχώρου προσπαθούν να αποκομίσουν μεγάλα κέρδη.

Κυκλοφορούν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τα θύματα ώστε να εγκαταστήσουν κακόβουλο λογισμικό backdoor με την ονομασία BazarLoader. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό παρέχει στους χάκερ πρόσβαση στο δίκτυο του θύματος όπου μπορούν να κλέψουν δεδομένα. Τα κλεμμένα δεδομένα χρησιμοποιούνται στη συνέχεια για να εκβιαστεί το θύμα με σκοπό να πληρώσει ένα ποσό λύτρων, έτσι ώστε να μην διαρρεύσουν τα δεδομένα τους δημόσια.

Δείτε επίσης: Κυβερνοεπίθεση στην φιλανθρωπική οργάνωση The Smith Family

Ωστόσο, αυτή η εκστρατεία της Luna Moth που ερεύνησε η Unit 42 παρακάμπτει τη μόλυνση από κακόβουλο λογισμικό χρησιμοποιώντας κοινωνική μηχανική για την πρόσβαση σε δίκτυα. Και έχει επιτύχει να διεκδικήσει θύματα σε πολλούς τομείς, όπως η λιανική και η νομική. Επίσης, έχει κοστίσει σε κάποιους εκατοντάδες χιλιάδες δολάρια.

Οι επιθέσεις ξεκινούν με ένα ηλεκτρονικό “ψάρεμα” σε μια εταιρική διεύθυνση ηλεκτρονικού ταχυδρομείου με ένα συνημμένο PDF που ισχυρίζεται ότι είναι τιμολόγιο πιστωτικής κάρτας, συνήθως για ένα ποσό κάτω από 1.000 $ – ένα χαμηλότερο είναι λιγότερο πιθανό να προκαλέσει υποψίες ή να αναφερθεί στη χρηματοδότηση.

Αυτό το συνημμένο αρχείο έχει ένα μοναδικό αναγνωριστικό και έναν αριθμό τηλεφώνου, στον οποίο ο παραλήπτης καλείται να καλέσει εάν έχει ερωτήσεις ή εάν επιθυμεί να ακυρώσει την πληρωμή. Τα email και τα συνημμένα αρχεία

συχνά αλλάζουν ελαφρώς προκειμένου να αποφεύγεται ο εντοπισμός.

Εάν το θύμα καλέσει τον αριθμό, συνδέεται με ένα τηλεφωνικό κέντρο το οποίο διευθύνεται από τους χάκερ. Ο τηλεφωνητής μπορεί να εντοπίσει ποια εταιρεία έχει στοχοποιηθεί ζητώντας τον αριθμό ID και στη συνέχεια, με ψευδείς προφάσεις, καθοδηγεί το θύμα στα βήματα που απαιτούνται για τη λήψη και την εκτέλεση λογισμικού απομακρυσμένης πρόσβασης.

Με αυτή την πρόσβαση, ο επιτιθέμενος κατεβάζει και εγκαθιστά ένα εργαλείο απομακρυσμένης διαχείρισης για να παρακολουθεί το μηχάνημα. Τώρα μπορεί να αναζητήσει ευαίσθητα αρχεία και servers για να κλέψει χωρίς να γίνει αντιληπτός.

Ο επιτιθέμενος θα στείλει ένα άλλο email μετά την κλοπή των δεδομένων, απαιτώντας την καταβολή των λύτρων – πληρωμή σε Bitcoin – για να μην δημοσιοποιηθούν τα δεδομένα.

Εάν τα θύματα πληρώσουν γρήγορα, θα λάβουν “έκπτωση” 25% επί των λύτρων – ενώ εάν αρνηθούν να πληρώσουν, οι χάκερ απειλούν να τηλεφωνήσουν σε πελάτες για να τους ενημερώσουν για την παραβίαση των δεδομένων.

Δείτε επίσης: Η ρωσική ομάδα Killnet «έριξε» το website του πρίγκιπα William

Εάν το θύμα πληρώσει, δεν υπάρχει καμία εγγύηση ότι οι επιτιθέμενοι θα διαγράψουν τα δεδομένα που έκλεψαν.

Οι ερευνητές λένε ότι εντόπισαν αρκετές από αυτές τις επιθέσεις μεταξύ Μαΐου και Οκτωβρίου του τρέχοντος έτους. Πιστεύουν ότι όλες αυτές οι επιθέσεις συνδέονται με την εγκληματική ομάδα Luna Moth, η οποία φαίνεται να “συνεχίζει να βελτιώνει την αποτελεσματικότητα των επιθέσεών της”. Οι εκστρατείες της εν λόγω ομάδας έχουν μετατοπιστεί από τη στόχευση μικρότερων και μεσαίων εταιρειών στη στόχευση μεγαλύτερων εταιρειών.

Πηγή πληροφοριών: zdnet.com