A Google Threat Intelligence Group revelou a existência de um novo grupo de extorsão financeiramente motivado, designado por UNC6783, que tem como alvo dezenas de entidades corporativas de alto valor. Segundo avança o The Register, os atacantes recorrem a esquemas de engenharia social e campanhas de phishing direcionadas às equipas de suporte técnico e helpdesk para contornar sistemas de segurança e aceder às redes internas.
O método de ataque através do suporte técnico
O analista principal de ameaças, Austin Larsen, indicou que o grupo UNC6783 foca-se primeiramente em comprometer centros de atendimento e fornecedores de serviços externos (BPOs) que prestam assistência a grandes corporações. Quando conseguem aceder às redes destes fornecedores, os criminosos utilizam as credenciais legítimas dos funcionários para entrar nos ambientes informáticos dos clientes finais.
A Google observou também ataques diretos aos funcionários de suporte das próprias organizações. Através de conversas de chat em tempo real, os atacantes encaminham os trabalhadores para páginas de início de sessão falsas da plataforma Okta. Estes domínios maliciosos imitam a organização alvo, adotando frequentemente uma estrutura de endereço disfarçada para parecer autêntica.
Falsas atualizações e o caso da Adobe
Para ultrapassar a autenticação de múltiplos fatores, a estrutura criminosa utiliza um kit de phishing capaz de roubar o conteúdo da área de transferência do computador, registando posteriormente os seus próprios dispositivos para manterem o acesso contínuo. Noutras situações, os atacantes recorrem a falsas atualizações de software de segurança para convencer as vítimas a descarregar ferramentas de acesso remoto. Assim que os dados sensíveis são extraídos, a equipa utiliza contas de Proton Mail para enviar os pedidos de resgate aos alvos.
O grupo, que pode estar ligado à identidade online Raccoon, é apontado como o alegado responsável por uma intrusão na Adobe. Um atacante sob o nome Mr. Raccoon afirmou ter obtido acesso através de um BPO indiano, instalando uma ferramenta de controlo remoto no computador de um funcionário e, de seguida, enganando o respetivo gestor com técnicas de phishing.
O ataque resultou na extração reportada de 13 milhões de pedidos de suporte com informações pessoais, 15 mil registos de trabalhadores, submissões da HackerOne e documentos internos. O grupo de investigação vx-underground indicou que a intrusão parece ser legítima, podendo afetar qualquer pessoa que tenha submetido um pedido de assistência à empresa.
from TugaTech https://ift.tt/JByLNhM
https://ift.tt/tro3Hnz
Share your thoughts here.