Компания Red Canary предупредила, что злоумышленники используют различные приманки в новых фишинговых кампаниях, направленных на установку софта для удалённого мониторинга и управления (RMM) на компьютеры жертв. Обнаружено несколько кампаний, использующих инструменты ITarian (он же Comodo), PDQ, SimpleHelp и Atera.
В качестве таких приманок могут выступать поддельное обновление браузера, на которое жертва перенаправляется после посещения заражённого веб-сайта, приглашение на онлайн-созвон, где пользователю предлагаются поддельные установщики ПО для конференций (Microsoft Teams и Zoom Installer), приглашение на вечеринку, обычно отправляемое по электронной почте, с вложениями Party Card Viewer или E-Invite и государственные документы (выписки по социальному страхованию, формы W9 и налоговые декларации). Открытие ссылки запускает установку PDQ Connect, SimpleHelp или ScreenConnect. В некоторых случаях хакер быстро внедряет несколько RMM-инструментов подряд.
По словам экспертов Red Canary, ПО RMM может использоваться злоумышленниками для запуска программ-вымогателей или атак, направленных на кражу данных: «Учитывая относительную простоту создания реалистично выглядящих фишинговых писем и сайтов, организациям крайне важно внедрить средства контроля безопасности и обнаружения».
Поставщик решений безопасности порекомендовал CISO развёртывание систем обнаружения и реагирования на уровне конечных точек, ведение «списка одобренных инструментов», запрет несанкционированного доступа и улучшение видимости сети с помощью превентивных или мониторинговых средств контроля для доверенных сервисов, таких как домены объектного хранилища Cloudflare R2.
«Чтобы определить, используется ли инструмент RMM во вредоносных целях, важно понимать его типичные особенности. Ключевыми признаками вредоносной активности часто являются изменение имени файла, загрузка и запуск инструмента из нестандартного каталога, загрузка установщика RMM с домена, не подключенного к продукту RMM, или инициирование подозрительных сетевых подключений», — подытожили в Red Canary.
Усам Оздемиров
(1).jpg)