0
Uno screenshot del falso Facebook pagina utilizzata per attirare le vittime dell’hacking campagna.
Immagine: SecureWorks
Sei sicuro di sapere chi è che LinkedIn contatto è in realtà? Potrebbero non essere quello che realmente pretendiamo, ma invece di un hacker che cercano di raschiare il tuo profilo, o peggio, di manipolare le vostre azioni.
Cyberespionage attività pare essere condotto per conto del governo Iraniano di mira le organizzazioni finanziarie, olio, tecnologia e settori, con l’avanzata di ingegneria sociale intorno a un unico, prolifico social media persona che è assolutamente falso. Il suo obiettivo? Per installare il malware Trojan su reti di destinazione organizzazioni.
L’operazione, scoperto dai ricercatori di sicurezza informatica a SecureWorks, è il lavoro di un gruppo, a quanto pare associati con il governo Iraniano, che utilizza la spear-phishing di compromettere gli obiettivi.
All’inizio di quest’anno, i ricercatori hanno visto una campagna di phishing di mira individui nelle organizzazioni, prevalentemente in Medio Oriente e Nord Africa, con alcuni obiettivi. Le e-mail’ generale soggetti di offerte di lavoro e richieste di reimpostare le password.
Queste esche contenute in corto Url, che ha portato a documenti che, quando aperto, installato PupyRAT, un open-source remote access Trojan che può infiltrarsi Windows, Linux, OSX e Android, per dare la minaccia attore accesso completo al sistema della vittima.
Ma quando meno obiettivi è caduto per il regime di quanto previsto, il gruppo di hacker ha provato ancora con un falso profilo social media che era stato interagire con alcuni degli obiettivi da metà dello scorso anno.
Denominato ‘Mia Cenere’, il profilo la pretesa di essere una giovane donna che lavora in fotografia a Londra, e ha un buon rapporto con i vari obiettivi sui social media. Tuttavia, la persona è completamente falso, e ha usato il Instagram foto di una giovane donna dell’Est Europa.
“Mia Cenere è stata l’attività di follow-up, l’operazione di campagna, che è il motivo per cui hanno portato fuori i grossi calibri e utilizzato la persona direttamente target individui su LinkedIn” Allison Wikoff, senior security researcher presso SecureWorks, ha detto a ZDNet.
Il profilo è attivo dal mese di aprile 2016, e ha più di 500 connessioni sul proprio profilo LinkedIn e un numero ancora maggiore su Facebook. L’account di LinkedIn ha rubato una descrizione del lavoro da un legittimo fotografo in NOI e, inizialmente, sembra essere collegato con gli altri in fotografia per un look autentico.
La campagna poi ha iniziato l’aggiunta di obiettivi, come ad esempio le persone che lavorano in Medio oriente o dell’Africa in base aziende di telecomunicazioni, di tecnologie e di petrolio e di gas. Centinaia accettata la richiesta, con molti ruoli come il supporto a tecnici e ingegneri — persone che hanno il più alto livello di accesso rispetto agli utenti normali.
“La maggior parte di queste persone avevano descrizioni del lavoro che vorresti indicare che possono avere accesso privilegiato alla loro azienda,” ha detto Wikoff. “Non dovrebbe essere sorprendente, ma erano tutti uomini, si sta utilizzando il vecchio di 1000 anni stratagemma”, ha aggiunto.
Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web
Tutto quello che devi sapere su ransomware: come è iniziato, perché è in piena espansione, come per proteggere contro di essa, e cosa fare se il vostro PC è infetto.
Naturalmente, in questo caso, non c’è persona reale, è solo un gruppo di attaccanti di funzionamento di un profilo, ma che regolarmente interagisce con le vittime che anche reagire indietro.
“La Mia Cenere Facebook profilo è stato molto attivo, è stato la pubblicazione di nuove foto regolarmente e ci sono pochi commenti da obiettivi che stanno commentando queste foto. Non friended lei e non è mai prestato attenzione, c’è un sacco di “mi piace” dalle stesse persone,” Wikoff spiegato.
L’attacco inizia con messaggi su LinkedIn, prima di passare attraverso Facebook poi, alla fine, email. In un caso particolare della campagna studiato dai ricercatori, lo scambio di mail si è conclusa con la ‘Mia’ invio l’obiettivo di un e-mail un documento di Microsoft Excel ‘Copia della Fotografia Indagine.xlsm “e li ha esortati ad aprirlo al lavoro per “funzioni correttamente”.
Questa indagine continua macro che, una volta attivato, scaricato il PupyRAT Trojan sul sistema mirato, dando gli aggressori di accedere alla rete.
“Hanno davvero messo un sacco di sforzo in questo e andare in catfishing,” ha detto Wikoff. “Hanno messo la P persistente minaccia. L’attacco iniziale non funziona così la minaccia attore è una persona che ho avuto costruito e pronto ad andare per tornare alle organizzazioni che vogliono entrare.”
Il gruppo rimane in funzione e sta ancora tentando di infiltrarsi nelle reti di migliaia di organizzazioni in tutto il mondo, in particolare in Medio Oriente e in Africa. SecureWorks dice che l’operazione è uno dei più prolifici gruppi di hacker in tutto il mondo, più prolifico di Fantasia Orso o Cinesi gruppi.
Come per la donna che stava avendo la sua foto rubate per questa operazione criminale informatico, SecureWorks riuscito a entrare in contatto e lei era “sconvolto” a quello che stava accadendo-ma le immagini utilizzate in questo pezzo sono usati con il suo permesso. LinkedIn ha rimosso il falso account.
Non solo questo caso dimostrare i pericoli di altamente sofisticato attacco operazioni e i rischi di collegamento sconosciuti account di social media, è martelli a casa come si deve bloccare il proprio account di social media, perché chi sa che potrebbe essere guardando.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Lusinghiero per ingannare: Perché narcisisti sono un facile bersaglio per hackersHow per diventare un maestro di cyber sleuth [TechRepublic]criminalità informatica Inc: Come l’hacking bande modellare se stessi in grande businessA hacker prossimo target è solo una ricerca sul Web di distanza [CNET]gli Hacker stanno utilizzando questo nuovo metodo di attacco per obiettivo le aziende di potenza
0