Масивна фишинг атака се насочва към добре познати корпоративни марки

Масивна фишинг атака се насочва към добре познати корпоративни марки
Масивна фишинг атака

В момента тече целенасочена фишинг атака с използване на SLK прикачени файлове срещу тринадесет компании, като някои от тях са добре известни марки. Целта е да бъде получен достъп до техните корпоративни мрежи.

Успешното компрометиране на голяма корпоративна мрежа е златна мина за извършителите, тъй като това им позволява да крадат корпоративни тайни и частни финансови документи, да извършват корпоративни атаки за откуп и да крадат файлове, които да се използват при опити за изнудване.

Открита е нова фишинг кампания, насочена към тринадесет компании със специално изработени имейли, които се претендират, че са от доставчик или клиент на компанията.
Тези компании, изброени по-долу, варират от големи международни компании до известни марки като Glad и Hasbro.

Компания Сектор

A2B Australia Limited Софтуер

Asarco LLC Добивна промишленост

AusNet Services Комунални услуги

Bega Cheese Хранителна промишленост

Boc Group Inc Химия

Glad Products Company Опаковки

Hasbro Забавление

Hydratight Индустриaлно машиностроене

Iridium Телеком

Messer LLC Химия

MutualBank Банкиране

Pact Group Опаковки

Sappi North America Дърводобив и производство на хартия

Целенасочената фишинг атака
Когато изпраща имейли до целевите компании, престъпникът ще се представи за един от доставчиците или клиентите на компанията за извършване на бизнес транзакция.
Към тези имейли са приложени SLK файлове, наречени на компанията. Например, прикачените файлове в имейлите, насочени към Messer, ще бъдат наречени „Messer LLC.slk“.
SLK (Symbolic Link) файл е файлов формат на Microsoft, използван за споделяне на данни между електронните таблици на Microsoft Excel. Поради това ще се покаже SLK файл с икона на Excel, както е показано по-долу.

Когато SLK файловете се отворят, потребителят ще бъде подканен да извърши „Активиране на редактиране“ или „Активиране на съдържанието“ за правилното показване на електронната таблица.

Ако съдържанието е активирано, командите във SLK файла ще бъдат изпълнени, което обикновено се използва за вмъкване на данни в определени клетки на електронната таблица.
За споделяне на данни между електронни таблици, SLK файловете могат да изпълняват команди на компютъра с помощта на командата EEXEC Excel.
Както е показано по-долу, тези злонамерени SLK прикачени файлове използват команди EEXEC, за да създадат партиден файл в папката% Temp% и след това да го изпълнят.

Този пакетен файл ще се опита да използва Msiexec за стартиране на MSI файл, съхраняван на отдалечен сайт. Полезният товар е RAT на NetSupport Manager.

Когато NetSupport Manager е инсталиран на компютъра на жертвата, той позволява на нападателя да контролира дистанционно компютъра и да получи достъп до корпоративната мрежа.
Това би позволило на престъпника да заразява други хостове в мрежата и потенциално да получи достъп до потребител с администраторски права.
След като администраторските привилегии са придобити, това може да доведе до пълно компрометиране на мрежата, до инсталиране на софтуер, извършване на измами с BEC или кражба на данни.
За да защитите себе си и корпоративните си мрежи от насочени фишинг атаки като тази, се препоръчва винаги да се свържете с подателя на неговия корпоративен номер.
Макар да им се обаждате да потвърдят, това добавя още една задача към натоварения график, но също така ще ви даде спокойствие, че имейлът е легитимен.

По-добрият вариант е да закупите за корпоративната си мрежа Рanda Adaptive Defense 360 и да бъдете спокойни, че всеки един зловреден процес ще бъде прекъснат.

Източник: По материали от интернет

 

Сподели в:

Категории:

Следвай ни в: