Jonathan Greig Personalskribent
Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 8 december 2021 | Ämne: Säkerhet
Forskare med cybersäkerhetsföretaget Proofpoint har upptäckt en ny nätfiskeattack som utnyttjar oro för spridningen av Omicron-stammen av covid-19 för att stjäla referenser och få tillgång till konton på flera framstående universitet i USA.
Mejlen – en del av en attack som Proofpoint-forskare sa började i oktober men ökade i november – innehåller i allmänhet information om covid-19-tester och den nya Omicron-varianten.
Cyberkriminella och hotaktörer har använt oro för covid-19 som ett lockbete till nätfiske sedan pandemin började skapa rubriker i januari och februari 2020.
Men med denna specifika attack förfalskar cyberbrottslingar skolornas inloggningsportaler som Vanderbilt University, University of Central Missouri och mer. Vissa härmar generiska Office 365-inloggningsportaler medan andra använder legitima universitetssidor.
“Det är troligt att denna aktivitet kommer att öka under de kommande två månaderna eftersom högskolor och universitet tillhandahåller och kräver testning för studenter, lärare och andra arbetare som reser till och från campus under och efter semesterperioden, och när Omicron-varianten dyker upp mer allmänt, ” skrev Proofpoint-forskarna.
“Vi förväntar oss att fler hotaktörer kommer att ta till sig COVID-19-teman med tanke på introduktionen av Omicron-varianten. Denna bedömning är baserad på tidigare publicerad forskning som identifierade covid-19-teman som gör ett återuppsving i e-postkampanjer efter uppkomsten av Delta-varianten i augusti 2021 .”
I vissa fall upptäckte Proofpoint att e-postmeddelandena faktiskt omdirigerade potentiella offer till de faktiska webbplatserna för deras universitet efter att deras referenser hade stulits. E-postmeddelandena kommer vanligtvis med ämnesrader som “Uppmärksamhet krävs – Information angående COVID-19 Omicron Variant – 29 november.” Andra är taggade med “COVID-test.”
En skärmdump av en av de falska sidorna.
Bevis
Tusentals meddelanden har skickats med Omicron som ett lockbete, och e-postmeddelandena har vanligtvis skadliga filer bifogade eller kommer med webbadresser som stjäl autentiseringsuppgifter för universitetskonton.
I vissa fall fann Proofpoint att attacker med bilagor “utnyttjade legitima men äventyrade WordPress-webbplatser för att vara värd för webbsidor för insamling av autentiseringsuppgifter.”
“I vissa kampanjer försökte hotaktörer stjäla multifaktorautentiseringsuppgifter (MFA) och förfalskade MFA-leverantörer som Duo. Att stjäla MFA-tokens gör det möjligt för angriparen att kringgå det andra säkerhetsskiktet utformat för att hålla ut hotaktörer som redan känner till ett offers användarnamn och lösenord,” förklarade forskarna.
“Medan många meddelanden skickas via falska avsändare, har Proofpoint observerat hotaktörer som utnyttjar legitima, komprometterade universitetskonton för att skicka hot med covid-19-tema. Det är troligt att hotaktörerna stjäl autentiseringsuppgifter från universitet och använder komprometterade brevlådor för att skicka samma hot till andra universitet. Proofpoint tillskriver inte denna aktivitet till en känd aktör eller hotgrupp, och hotaktörernas slutmål är för närvarande okänt.”
Hank Schless, senior manager på Lookout, sa till ZDNet att kl. i början av pandemin 2020, fanns det massor av skadlig nätfiskeaktivitet centrerad kring viruset som frestade människor med löften om ökat statligt stöd, information om avstängningar och till och med självtestande appar.
Från fjärde kvartalet 2019 till första kvartalet 2020 sa Schless att hans företag såg en ökning på 87 % av företagens mobilnätsfiske.
I början av 2021 noterade Schless att angripare ändrade sin stämning för att leverera samma attacker med löfte om information om vacciner och återöppningar.
“Mellan fjärde kvartalet 2020 och första kvartalet 2021 ökade exponeringen för nätfiske med 127 % och låg kvar på samma nivå under andra och tredje kvartalet. Nu, med frågor kring varianterna Delta och Omicron, använder angripare detta igen som ett sätt att övertyga potentiella offer att lita på deras kommunikation och omedvetet dela inloggningsuppgifter eller ladda ner skadlig programvara. Akademiska institutioner skapar mogna mål i cyberbrottslingarnas ögon, säger Schless.
“Stora institutioner kan bedriva spetsforskning eller ha massiva tillgångar — båda typerna av data än en angripare skulle vilja stjäla eller kryptera för en ransomware-attack. Phishing-kampanjer känner ingen bransch, organisation eller enhetstyp. De är designade för att vara agila attacker som kan justeras för att rikta in sig på alla individer.”
Han förklarade att även om slutmålet för angriparna som upptäckts av Proofpoint fortfarande är okänt, kan en uppsättning legitima inloggningsuppgifter vara den mest värdefulla tillgången för en angripare som försöker infiltrera en organisations infrastruktur.
Genom att gå in under sken av en legitim användare har angriparen en större chans att komma åt känslig data utan att utlösa några larm, tillade Schless och noterade att dessa kampanjer ofta är startpunkten för mer avancerade cyberattacker.
Säkerhet
Hackare använder ny skadlig programvara som gömmer sig mellan block med skräpkod Skurkar säljer åtkomst till hackade nätverk. Ransomware-gäng är deras största kunder. Här är den perfekta presenten för att skydda alla med en dator. Dessa forskare ville testa molnsäkerhet. De blev chockade över vad de upptäckte. Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer som drabbats av ransomware? Gör inte detta första uppenbara misstag Utbildning | Säkerhets-TV | Datahantering | CXO | Datacenter