Jonathan Greig Staff Writer
Jonathan Greig er journalist baseret i New York City.
Fuld bio den 8. december 2021 | Emne: Sikkerhed
Forskere med cybersikkerhedsfirmaet Proofpoint har opdaget et nyt phishing-angreb, der udnytter bekymringen over spredningen af Omicron-stammen af COVID-19 for at stjæle legitimationsoplysninger og få adgang til konti på adskillige fremtrædende universiteter i USA.
E-mails – en del af et angreb, som Proofpoint-forskere sagde, begyndte i oktober, men steg i november – indeholder generelt oplysninger om COVID-19-test og den nye Omicron-variant.
Cyberkriminelle og trusselsaktører har brugt bekymring over COVID-19 som et phishing-lokkemiddel, siden pandemien begyndte at skabe overskrifter i januar og februar 2020.
Men med dette specifikke angreb forfalsker cyberkriminelle skolernes login-portaler som Vanderbilt University, University of Central Missouri og mere. Nogle efterligner generiske Office 365-loginportaler, mens andre bruger legitime universitetssider.
“Det er sandsynligt, at denne aktivitet vil stige i de næste to måneder, efterhånden som gymnasier og universiteter tilbyder og kræver testning for studerende, fakulteter og andre arbejdere, der rejser til og fra campus under og efter feriesæsonen, og efterhånden som Omicron-varianten dukker mere ud, ” skrev Proofpoint-forskerne.
“Vi forventer, at flere trusselsaktører vil adoptere COVID-19-temaer givet introduktionen af Omicron-varianten. Denne vurdering er baseret på tidligere offentliggjort forskning, der identificerede COVID-19-temaer, der gør en genopblussen i e-mail-kampagner efter fremkomsten af Delta-varianten i august 2021 .”
I nogle tilfælde fandt Proofpoint ud af, at e-mails faktisk omdirigerede potentielle ofre til de faktiske websteder på deres universitet, efter at deres legitimationsoplysninger blev stjålet. E-mails kommer typisk med emnelinjer som “Attention Required – Information Regarding COVID-19 Omicron Variant – November 29.” Andre er tagget med “COVID-test.”
Et skærmbillede af en af de forfalskede sider.
Proofpoint
Tusindvis af beskeder er blevet sendt med Omicron som lokkemiddel, og e-mails har typisk ondsindede filer vedhæftet eller kommer med URL'er, der stjæler legitimationsoplysninger til universitetskonti.
I nogle tilfælde fandt Proofpoint ud af, at angreb ved brug af vedhæftede filer “udnyttede legitime, men kompromitterede WordPress-websteder til at være vært for websider med registrering af legitimationsoplysninger.”
“I nogle kampagner forsøgte trusselsaktører at stjæle multifaktorautentificering (MFA) legitimationsoplysninger, idet de spoofede MFA-udbydere såsom Duo. At stjæle MFA-tokens gør det muligt for angriberen at omgå det andet sikkerhedslag, der er designet til at holde trusselsaktører ude, som allerede kender et offers brugernavn og adgangskode,” forklarede forskerne.
“Mens mange beskeder sendes via falske afsendere, har Proofpoint observeret trusselsaktører, der udnytter legitime, kompromitterede universitetskonti til at sende trusler med COVID-19-tema. Det er sandsynligt, at trusselsaktørerne stjæler legitimationsoplysninger fra universiteter og bruger kompromitterede postkasser til at sende de samme trusler til andre universiteter. Proofpoint tilskriver ikke denne aktivitet til en kendt aktør eller trusselsgruppe, og det endelige mål for trusselsaktørerne er i øjeblikket ukendt.”
Hank Schless, en senior manager hos Lookout, fortalte ZDNet, at kl. begyndelsen af pandemien i 2020, var der et væld af ondsindet phishing-aktivitet centreret omkring virussen, der fristede folk med løfter om øget statsstøtte, information om nedlukninger og endda selvtestende apps.
Fra 4. kvartal 2019 til 1. kvartal 2020 sagde Schless, at hans virksomhed oplevede en stigning på 87 % i virksomhedens mobile phishing.
I begyndelsen af 2021 bemærkede Schless, at angriberne ændrede deres melodi til at levere de samme angreb med løftet om information omkring vacciner og genåbninger.
“Mellem 4. kvartal 2020 og 1. kvartal 2021 steg eksponeringen for phishing med 127 % og forblev på samme niveau gennem 2. og 3. kvartal. Nu, med spørgsmål omkring Delta- og Omicron-varianterne, bruger angriberne igen dette som en måde at overbevise potentielle ofre på at stole på deres kommunikation og ubevidst dele loginoplysninger eller downloade malware. Akademiske institutioner sørger for modne mål i cyberkriminelles øjne,” sagde Schless.
“Store institutioner udfører måske banebrydende forskning eller har massive midler – begge typer data end en angriber ville ønske at stjæle eller kryptere til et ransomware-angreb. Phishing-kampagner kender ingen industri, organisation eller enhedstype. De er designet til at være agile angreb, der kan justeres til at målrette enhver person.”
Han forklarede, at selvom slutmålet for angriberne opdaget af Proofpoint stadig er ukendt, kan et sæt legitime loginoplysninger være det mest værdifulde aktiv for en angriber, der forsøger at infiltrere en organisations infrastruktur.
Ved at gå ind under dække af en legitim bruger, har angriberen en større chance for at få adgang til følsomme data uden at udløse alarmer, tilføjede Schless og bemærkede, at disse kampagner ofte er udgangspunktet for mere avancerede cyberangreb.
Sikkerhed
Hackere bruger ny malware, som gemmer sig mellem blokke af uønsket kode Svindlere sælger adgang til hackede netværk. Ransomware-bander er deres største kunder. Her er den perfekte gave til at beskytte enhver med en computer Disse forskere ønskede at teste cloud-sikkerhed. De var chokerede over, hvad de fandt. Hackere bruger denne enkle teknik til at installere deres malware på pc'er, der er ramt af ransomware? Begå ikke denne første åbenlyse fejl Uddannelse | Sikkerheds-tv | Datastyring | CXO | Datacentre