Jonathan Greig Staff Writer
Jonathan Greig er en journalist basert i New York City.
Full bio 8. desember 2021 | Emne: Sikkerhet
Forskere med cybersikkerhetsfirmaet Proofpoint har oppdaget et nytt phishing-angrep som utnytter bekymring for spredningen av Omicron-stammen av COVID-19 for å stjele legitimasjon og få tilgang til kontoer ved flere fremtredende universiteter i USA.
E-postene – en del av et angrep som Proofpoint-forskere sa begynte i oktober, men økte i november – inneholder generelt informasjon om COVID-19-testing og den nye Omicron-varianten.
Nettkriminelle og trusselaktører har brukt bekymring for COVID-19 som et lokkemiddel for phishing siden pandemien begynte å skape overskrifter i januar og februar 2020.
Men med dette spesifikke angrepet forfalsker nettkriminelle påloggingsportalene til skolene som Vanderbilt University, University of Central Missouri og mer. Noen etterligner generiske Office 365-påloggingsportaler, mens andre bruker legitime universitetssider.
“Det er sannsynlig at denne aktiviteten vil øke i løpet av de neste to månedene ettersom høyskoler og universiteter tilbyr og krever testing for studenter, fakulteter og andre arbeidere som reiser til og fra campus under og etter feriesesongen, og ettersom Omicron-varianten dukker opp mer utbredt, ” skrev Proofpoint-forskerne.
“Vi forventer at flere trusselaktører vil ta i bruk COVID-19-temaer gitt introduksjonen av Omicron-varianten. Denne vurderingen er basert på tidligere publisert forskning som identifiserte covid-19-temaer som har gjenoppstått i e-postkampanjer etter fremveksten av Delta-varianten i august 2021 .”
I noen tilfeller fant Proofpoint at e-postene faktisk omdirigerte potensielle ofre til de faktiske nettsidene til universitetet deres etter at legitimasjonen deres ble stjålet. E-postene kommer vanligvis med emnelinjer som “Oppmerksomhet kreves – Informasjon angående COVID-19 Omicron-variant – 29. november.” Andre er merket med “COVID-test.”
Et skjermbilde av en av de falske sidene.
Proofpoint
Tusenvis av meldinger har blitt sendt med Omicron som lokkemiddel, og e-postene har vanligvis ondsinnede filer vedlagt eller kommer med URL-er som stjeler legitimasjon for universitetskontoer.
I noen tilfeller fant Proofpoint at angrep ved bruk av vedlegg “utnyttet legitime, men kompromitterte WordPress-nettsteder til å være vert for legitimasjonsfangst nettsider.”
“I noen kampanjer forsøkte trusselaktører å stjele multifaktorautentisering (MFA) legitimasjon, og forfalsket MFA-leverandører som Duo. Å stjele MFA-tokens gjør det mulig for angriperen å omgå det andre sikkerhetslaget designet for å holde trusselaktører ute som allerede kjenner et offers brukernavn og passord,” forklarte forskerne.
“Mens mange meldinger sendes via falske avsendere, har Proofpoint observert trusselaktører som utnytter legitime, kompromitterte universitetskontoer for å sende trusler med COVID-19-tema. Det er sannsynlig at trusselaktørene stjeler legitimasjon fra universiteter og bruker kompromitterte postbokser for å sende de samme truslene til andre universiteter. Proofpoint tilskriver ikke denne aktiviteten til en kjent aktør eller trusselgruppe, og det endelige målet for trusselaktørene er foreløpig ukjent.”
Hank Schless, seniorleder ved Lookout, sa til ZDNet at kl. starten av pandemien i 2020, var det massevis av ondsinnet phishing-aktivitet sentrert rundt viruset som fristet folk med løfter om økt offentlig hjelp, informasjon om nedleggelser og til og med selvtestende apper.
Fra 4. kvartal 2019 til 1. kvartal 2020 sa Schless at selskapet hans hadde en økning på 87 % i bedriftens mobilnettfisking.
I begynnelsen av 2021 bemerket Schless at angripere endret melodi for å levere de samme angrepene med løfte om informasjon om vaksiner og gjenåpninger.
«Mellom 4. kvartal 2020 og 1. kvartal 2021 økte eksponeringen for phishing med 127 % og holdt seg på samme nivå gjennom 2. og 3. kvartal. Nå, med spørsmål rundt Delta- og Omicron-variantene, bruker angripere dette igjen som en måte å overbevise potensielle ofre på å stole på kommunikasjonen deres og ubevisst dele påloggingsinformasjon eller laste ned skadelig programvare. Akademiske institusjoner sørger for modne mål i øynene til nettkriminelle,” sa Schless.
“Store institusjoner kan utføre banebrytende forskning eller ha massive begavelser — begge typer data enn en angriper ville ønske å stjele eller kryptere for et løsepenge-angrep. Phishing-kampanjer kjenner ingen bransje, organisasjon eller enhetstype. De er utformet for å være smidige angrep som kan justeres for å målrette enhver person.”
Han forklarte at mens sluttmålet til angriperne oppdaget av Proofpoint fortsatt er ukjent, kan et sett med legitime påloggingsinformasjon være den mest verdifulle ressursen for en angriper som prøver å infiltrere en organisasjons infrastruktur.
Ved å gå inn under dekke av en legitim bruker, har angriperen større sjanse til å få tilgang til sensitive data uten å utløse noen alarmer, la Schless til, og la merke til at disse kampanjene ofte er utgangspunktet for mer avanserte cyberangrep.
Sikkerhet
Hackere bruker ny skadelig programvare som gjemmer seg mellom blokker med søppelkode Crooks selger tilgang til hackede nettverk. Ransomware-gjenger er deres største kunder Her er den perfekte gaven for å beskytte alle med en datamaskin Disse forskerne ønsket å teste skysikkerhet. De ble sjokkert over det de fant Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er rammet av løsepengeprogram? Ikke gjør denne første åpenbare feilen Utdanning | Sikkerhets-TV | Databehandling | CXO | Datasentre