Oltre il phishing, esiste anche un’altra tecnica più avanzata, detta callback phishing.
Questa campagna di phishing avviata da una gang detta “Luna Moth” ha estorto centinaia di migliaia di dollari a diverse vittime nei settori legale e della vendita al dettaglio.
Questi attacchi sono noti per l’utilizzo di una tecnica chiamata callback phishing o consegna di attacchi orientati al telefono (TOAD), in cui le vittime state attratta tramite ingegneria sociale per effettuare una telefonata o rispondere a e-mail di phishing contenenti fatture e esche con specifici abbonamenti.
L’Unità 42 di Palo Alto Networks ha affermato che gli attacchi sono “il prodotto di un’unica campagna altamente organizzata“, aggiungendo che “questo autore ha investito in modo significativo in call center e infrastrutture uniche per ogni vittima“.
La società di sicurezza informatica ha descritto l’attività come una “campagna pervasiva di più mesi che si sta attivamente evolvendo“.
Cosa significa tutto ciò e quali danni ha fatto (e continua a fare) questa campagna di callback phishing
Ciò che è curioso notare nel callback phishing è che i messaggi di posta elettronica sono completamente privi di qualsiasi allegato dannoso o collegamenti ingannevoli, consentendo loro di eludere il rilevamento e sfuggire alle soluzioni di protezione della posta elettronica.
Questi messaggi in genere vengono forniti con una fattura che include un numero di telefono che gli utenti possono chiamare per annullare il presunto abbonamento.
In realtà, tuttavia, le vittime vengono indirizzate a un call center controllato dall’autore della campagna e collegate a un agente dal vivo dall’altra parte, che finisce per installare uno strumento di accesso remoto che agisce in modo “persistente” sui dispositivi delle vittime.
“L‘attaccante cercherà quindi di identificare informazioni preziose sul computer della vittima e sulle condivisioni dei file, e le esfiltrerà silenziosamente su un server che controlla utilizzando uno strumento di trasferimento di file“, ha detto il ricercatore dell’Unità 42, Kristopher Russo.
La campagna può richiedere molte risorse, ma è anche tecnicamente meno sofisticata rispetto ad altre tecniche di hacking e probabilmente avrà un tasso di successo molto più elevato rispetto ad altri attacchi di phishing più complessi.
Inoltre, consente l’estorsione senza crittografia, consentendo ai malintenzionati di “saccheggiare” i dati sensibili delle vittime senza la necessità di distribuire ransomware per bloccare i file dopo l’esfiltrazione.
L’hacker di Luna Moth, noto anche come Silent Ransom, è diventato una sorta di esperto “famoso” quando si tratta di realizzare tali schemi. Secondo AdvIntel, si ritiene che il gruppo criminale informatico sia la mente dietro gli attacchi BazarCall avvenuti lo scroso anno.
Per dare a questi attacchi in un qualche modo “legittimi” (farli sembrare tali), gli hacker, invece di far cadere un malware come BazarLoader, sfruttano strumenti legittimi come Zoho Assist per interagire in remoto con il computer di una vittima, abusando dell’accesso per distribuire altri programmi affidabili come Rclone o WinSCP per raccogliere dati personali.
Le richieste di estorsione vanno da due a 78 Bitcoin in base all’organizzazione presa di mira, con l’autore della minaccia che crea portafogli di criptovaluta unici per ogni pagamento. Si pensa anche che il malintenzionato offra sconti di quasi il 25% per il pagamento tempestivo, sebbene non vi sia alcuna prova che i dati vengano davvero eliminati alla fine della transazione.
Callback Phishing: se dovesse capitare a te?
Se dovesse capitare a te, valgono le regole di sempre: analizza molto bene la mail e al limite controlla i link anche tramite una VPN se non sei sicuro.
Ben prima che sui virus, malware e sui ransomware, il saggio sostiene “i problemi sono tra la tastiera e la sedia”
