Изпратих на моето йога студио уеб формуляр и всичко, което получих, беше тази гадна атака на зловреден софтуер

Getty Images

В последния ден на май една от пощенските ми кутии започна да получава имейли, уж от един от собствениците на йога студиото, което посещавам. Става въпрос за съобщение, което изпратих през януари през уебсайта на студиото, което беше разрешено на следващия ден в имейл, изпратен от съсобственика. Сега, ето я, четири месеца по-късно, отново ми изпрати имейл.

„По-долу са изброени документите, за които разговаряхме миналата седмица“, пише авторът на имейла. „Свържете се с мен, ако имате някакви въпроси относно прикачените файлове.“ Имаше прикачен zip файл, защитен с парола. Под тялото на съобщението беше отговорът, който съсобственикът ми изпрати през януари. Тези имейли започнаха да идват веднъж или два пъти дневно през следващите няколко седмици, всеки от различен адрес. Файловете и паролите често се променяха, но основният формат, включително януарската нишка за имейл, остана последователен.

С помощта на изследователи от охранителната фирма Proofpoint сега знам, че имейлите са дело на престъпна група, която наричат ​​TA578. TA578 е това, което е известно в индустрията за сигурност като брокер за първоначален достъп. Това означава, че компрометира устройствата на крайните потребители масово по опортюнистичен начин, изпращайки спам на възможно най-много адреси със злонамерени файлове. След това бандата продава достъп до компрометираните от нея компютри на други участници в заплахата за използване в ransomware, криптоджакинг и други видове кампании.

Какво е отвличане на нишки?

По някакъв начин членовете на групата се сдобиха със съобщението, което изпратих до моето йога студио. Най-простото обяснение би било компютърът или имейл акаунтът на собственика на студиото да са били компрометирани, но има и други възможности. С притежанието на моя имейл адрес и автентичния имейл, който собственикът ми беше изпратил през януари, TA578 вече разполагаше със суровините, за да изпълнява своята търговия.

„Съобщенията в тази кампания изглежда са отговори на предишни, безобидни имейл нишки“, пише Proofpoint в имейл, отговарящ на въпроси. „Тази техника се нарича отвличане на нишки. Актьорите на заплахи използват тази техника, за да накарат получателя да повярва, че взаимодействат с човек, на когото имат доверие, така че е по-малко вероятно да бъдат подозрителни относно изтеглянето или отварянето на прикачени файлове, които могат да бъдат изпратени като част от разговора. . Актьорите на заплахи обикновено крадат тези доброкачествени съобщения чрез предишни инфекции със злонамерен софтуер или компрометиране на акаунти.”

Когато се разархивират, прикачените файлове инсталират Bumblebee, злонамерен инструмент за изтегляне, който множество заплахи използват за изтегляне и изпълнение на допълнителни полезни натоварвания на компрометираната машина. Proofpoint за пръв път наблюдава заплахи, използващи Bumblebee в базирани на имейл кампании в Март.

Файловете, прикачени към имейлите, които получих, съдържаха вграден ISO или IMG файл заедно с LNK файл с пряк път и DLL файл. LNK файлът се използва за изпълнение на DLL в определена входна точка за стартиране на злонамерения софтуер. Proofpoint казва, че кампаниите TA578 Bumblebee обикновено продължават да изтеглят втори етап на зловреден софтуер Cobalt Strike и Meterpreter.

За щастие разбрах почти веднага, че имейлите са злонамерени, но не е трудно да се разбере как някои хора могат да се хванат на хитростта. Кой би помислил, че рутинно съобщение, изпратено до йога студио, ще отвори вратата за атака на зловреден софтуер?

Изпратих имейл на собственика и обясних поредицата от събития и предупредих, че акаунт или машина, използвана от студиото, е почти сигурно компрометирана. Никога не получих отговор. Когато последвах, като изпратих друго съобщение през уеб страницата на студиото, някой отговори: „Съжалявам да чуя, че получавате такъв тип комуникация, но от наша страна няма система или сървър, който да ви изпраща имейли. Бих проверил отново, за да се уверя, че нещо не се обърка от ваша страна.”

Всичко това означава, че получаването на този тип злонамерени имейли е до голяма степен факт от живота през 2022 г. Ако пазарувате или общувате онлайн, почти неизбежно е някой във веригата да бъде компрометиран и тази крайна точка ще бъде експлоатирана с надеждата заразявайки ви.

Изводът: Очаквайте злонамерени имейли от хора или адреси, които смятате, че разпознавате, като използвате истински имейл нишки, които сте получавали в миналото. Когато нещо изглежда нехарактерно, направете крачка назад и или започнете дискусия в отделна имейл нишка, или се обадете директно на човека. И както показва опитът ми с моето йога студио, не очаквайте другият да разбере какво се случва. Преди всичко друго, не кликвайте върху връзки и не отваряйте прикачени файлове.