0
En skärmdump av den falska Facebook-sidan används för att lura offer för hacking kampanj.
Bild: SecureWorks
Är du säker på att du vet vem som LinkedIn kontakta verkligen är? De kan inte vara som de verkligen göra anspråk på utan istället en hacker som att skrapa bort din profil-eller ännu värre, manipulera dina handlingar.
Cyberespionage aktivitet tydligen som bedrivs på uppdrag av den Iranska regeringen är inriktade organisationer i finans -, olje -, teknik -, och sektorer, med avancerad social konstruktion baserad runt en enda produktiva sociala medier persona som är helt falska. Dess mål? För att installera Trojan malware på nätverk av målgruppernas organisationer.
Operationen, som avslöjats av it-säkerhet forskare vid SecureWorks, är arbetet i en grupp, tydligen i samband med den Iranska regeringen, som använder spear-phishing att angripa mål.
I början av detta år, och forskarna såg en phishing-kampanj som riktar sig till individer i organisationer, främst i Mellanöstern och nordafrika, med några mål på OSS. E-post: “allmänna ämnen som ingår jobb erbjudanden och önskemål för att återställa lösenord.
Dessa beten som ingår kortsluten Webbadresser, vilket ledde till handlingar som, när den öppnas, installerat PupyRAT, ett open-source remote access-Trojaner som kan infiltrera Windows, Linux, OSX och Android för att ge hotet skådespelare full tillgång till offrets system.
Men när färre mål föll för systemet än väntat, hacka gruppen försökte igen med en falsk profil på sociala medier som hade interagera med några av de mål som sedan mitten av förra året.
Som heter “Mia Aska”, den profil som påstods vara en ung kvinna som arbetar i fotografi i London och slog upp en rapport med olika mål över sociala medier. Men, den persona som var helt falska, och använt Instagram bilder av en ung kvinna i Östra Europa.
“Mia Aska var att följa upp verksamheten till en misslyckad kampanj, vilket är varför de tog fram de stora kanonerna och använde den persona som direkt riktar sig mot enskilda personer på LinkedIn,” Allison Wikoff, högre säkerhet forskare vid SecureWorks, berättade ZDNet.
Profilen har varit aktiv sedan April 2016 och har över 500 anslutningar på sin LinkedIn-profil och ett ännu större antal på Facebook. LinkedIn-konto har stulit en arbetsbeskrivning från en legitim fotograf i USA och till en början verkar ha kontakten med andra i fotografi för att se äkta ut.
Kampanjen började sedan att lägga till mål, till exempel människor som arbetar för Mellanöstern och Afrika baserat företag inom telekom -, teknik-och olja-och gassektorn. Hundratals accepterat begäran, med många roller som IT-support, tekniker och ingenjörer-människor som skulle ha högre nivå än vanliga användare.
“De flesta av dessa människor hade jobb beskrivningar som tyder på att de kan ha privilegierad tillgång till sitt företag”, säger Wikoff. “Det borde inte vara förvånande, men de var alla män-de är med hjälp av de 1 000 år gamla knep”, tillade hon.
Ransomware: En verkställande guide till en av de största hot på webben
Allt du behöver veta om ransomware: hur det började, varför det är blomstrande, hur man skyddar sig mot det, och vad gör du om din DATOR är infekterad.
Naturligtvis, i det här fallet, det finns ingen verklig person, en grupp angripare att driva en profil, men som regelbundet interagerar med offer som också reagera tillbaka.
“Mia Aska Facebook-profil var mycket aktiv, det var att publicera nya bilder regelbundet och det finns en hel del kommentarer från mål som kommenterar på dessa bilder. De har inte friended henne och aldrig uppmärksammat igen, det finns massor av artister från samma människor,” Wikoff förklaras.
Attacken börjar med meddelanden via LinkedIn, innan vi går över till Facebook så småningom e-post. I en viss instans av den kampanj som studerats av forskare, e-post utbyte slutade upp med ” Mia “skicka rikta ett e-post till en Microsoft Excel-dokument” Kopia av Fotografi Undersökning.xlsm “och uppmanade dem att öppna det på jobbet i för att det ska “fungera på ett korrekt sätt”.
Denna undersökning fortsatt makron som, när det är aktiverat, hämtat PupyRAT Trojan till den målinriktade systemet, att ge angripare åtkomst till nätverket.
“De har verkligen lagt ner mycket arbete på detta och gå in i catfishing,” sade Wikoff. “De satte den P i ständiga hot. Den första attacken gick inte så hotet skådespelaren har en personlighet som de har byggt upp och redo att gå för att gå tillbaka till de organisationer som de vill komma in.”
Gruppen är fortfarande i drift och är fortfarande försöker infiltrera nätverk av tusentals organisationer i hela världen, särskilt i Mellanöstern och Afrika. SecureWorks säger att verksamheten är av en av de mest produktiva hacka grupper i världen, mer produktiv än Fancy Bära eller olika Kinesiska grupper.
För den kvinna som var med hennes bilder stulna för detta cybercriminal drift, SecureWorks lyckades få kontakt och att hon var “chockad” på vad som var på gång-men de bilder som används i detta stycke används med hennes tillstånd. LinkedIn har tagit bort den falska konto.
Inte bara detta fall visar på farorna med mycket sofistikerad cyberattack verksamheten och riskerna i anslutning till okända konton i sociala media, det hammare hem om hur du ska låsa dina egna konton i sociala media, för vem vet vem som kan vara att titta på dig.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Smickrande att lura: Varför narcissister är ett lätt mål för hackersHow att bli en mästare cyber-detektiv [TechRepublic]it-relaterad Brottslighet Inc: Hur hacking gäng modellering sig på stora businessA hacker nästa mål är bara en sökning bort [MAG]Hackare använder denna nya attack metod för att rikta kraften företag
0