Компания Cyble Research and Intelligence Labs (CRIL) обнаружила кампанию мошенничества, где злоумышленники выдают себя за доверенные платформы, такие как Zoom и Администрация социального обеспечения (SSA), чтобы обманом получить доступ к компьютерам жертв.
Фишинговая компания ScreenConnect
Исследование CRIL показало, что мошенники создали фишинговый сайт, имитирующий Zoom, и используют надежность этой платформы, чтобы убедить пользователей загрузить программное обеспечение ScreenConnect. ScreenConnect позволяет злоумышленникам установить удаленное соединение с компьютером жертвы и получить полный доступ к системе.
Один из фишинговых сайтов, связанных с кампанией, также имеет связь с мошенническими действиями владельцев счетов SSA. Это указывает на то, что одни и те же мошенники ведут несколько мошеннических операций с использованием одной и той же инфраструктуры. Кроме того, мошенники рассылают спам-письма, выдавая их за сообщения от службы поддержки SSA, с призывом загрузить приложение, предположительно для проверки состояния своего счета.
Мошенники начинают кампанию отправкой фишинговых электронных писем, звонков или СМС, выдавая себя за надежные источники, такие как Amazon, PayPal или государственные учреждения. Они информируют жертв о срочной проблеме и уговаривают их связаться с поддельным номером техподдержки или перейти по спам-ссылке. После этого мошенники просят жертв установить программное обеспечение для удаленного рабочего стола, например, ScreenConnect, чтобы «устранить» проблему. Затем мошенники получают удаленный доступ, манипулируют файлами и получают конфиденциальную информацию. Они также могут осуществлять мошеннические операции, требовать оплату или переводить деньги с банковских счетов жертвы.
Также было обнаружено, что мошенники используют встроенные ресурсы в двоичных файлах, связанных с программным обеспечением ScreenConnect, для подписания их цифровой подписью и создания ложных уведомлений о возврате денег. Это дает им ощущение законности и удовлетворяет доверие пользователей. В целом, кампания связана с различными мошенническими операциями, включая фишинговые сайты, спам-письма и использование удаленного доступа для получения деньги и конфиденциальной информации.
Indicators of Compromise
IPv4
- 79.110.49.157
Domains
- poyttwq.zapto.org
- railindiaticket.in
- zoominvite.live
SHA256
- 4e81851729d58f321bb83bdb03200f62bc5ee56e0703b2d609a3923a033d5b53
