Фальшивые письма, выдающие себя за представителей Администрации социального обеспечения США (SSA), пытаются заставить пользователей установить ScreenConnect, инструмент для удаленного доступа.
Описание
ScreenConnect, ранее известный как ConnectWise Control, представляет собой платформу удаленной поддержки и удаленного доступа, широко используемую компаниями для облегчения ИТ-поддержки и устранения неполадок. Она позволяет техническим специалистам удаленно подключаться к компьютерам пользователей для выполнения таких задач, как установка программного обеспечения, настройка системы и устранение проблем.
Поскольку ScreenConnect предоставляет возможности полного удаленного управления, неавторизованный пользователь, имеющий доступ, может управлять вашим компьютером так, как будто он физически присутствует на нем. Это включает в себя запуск скриптов, выполнение команд, передачу файлов и даже установку вредоносного ПО - и все это потенциально без вашего ведома.
Это делает ScreenConnect опасным инструментом в руках киберпреступников. Фишинговая группа, получившая название Molatori- из-за доменов, используемых для размещения клиентов ScreenConnect, как выяснилось, заманивает своих жертв на установку клиентов ScreenConnect, рассылая электронные письма под видом сообщений от Администрации социального обеспечения (SSA):
1 2 3 4 5 6 7 8 | Ваша выписка по социальному обеспечению теперь доступна Благодарим вас за то, что вы решили получать выписки в электронном виде. Теперь ваш документ готов к загрузке: Пожалуйста, загрузите вложение и следуйте приведенным инструкциям. ПРИМЕЧАНИЕ: Выписки и документы совместимы только с системами PC/Windows. |
Существует несколько разновидностей этого письма, но приведенный выше пример показывает, насколько легитимно выглядят эти письма.
Ссылка в письме ведет на файл ScreenConnect support.Client.exe, но он был найден под несколькими вводящими в заблуждение именами, например ReceiptApirl2025Pdfc.exe и SSAstatment11April.exe.
После установки клиента на компьютер жертвы злоумышленники удаленно подключаются к нему и сразу же начинают свою вредоносную деятельность. Они получают доступ к конфиденциальной информации, такой как банковские реквизиты, персональные идентификационные номера и конфиденциальные файлы. Эти похищенные данные могут быть использованы для кражи личных данных, финансового мошенничества и других вредоносных действий. Эксперты считают, что основной целью группы Molatori является финансовое мошенничество.
Есть несколько обстоятельств, которые затрудняют обнаружение этой кампании:
- Киберпреступники отправляют фишинговые письма со взломанных сайтов WordPress, поэтому сами домены выглядят легитимными и не вредоносными.
- Они часто вставляют содержимое письма в виде изображения, что не позволяет почтовым фильтрам эффективно сканировать и блокировать сообщение.
- ScreenConnect - это легитимное приложение, которым злоупотребляют из-за его возможностей.
Индикаторы компрометации
Domains
- atmolatori.icu
- gomolatori.cyou
- molatoriby.cyou
- molatorier.cyou
- molatorier.icu
- molatoriist.cyou
- molatorila.cyou
- molatoriora.cyou
- molatoriora.icu
- molatoripro.cyou
- molatoripro.icu
- molatorisy.cyou
- molatorisy.icu
- onmolatori.icu
- promolatori.icu
- samolatori.cyou
- samolatori.icu
- umolatori.icu