Oggi CrowdStrike ha inviato il seguente Tech Alert ai nostri clienti:L'8 luglio 2022, CrowdStrike Intelligence ha identificato una campagna di callback di phishing che impersonava importanti società di sicurezza informatica, tra cui CrowdStrike.L'e-mail di phishing implica che l'azienda del destinatario è stata violata e insiste che la vittima chiami il numero di telefono incluso.Questa campagna sfrutta tattiche di ingegneria sociale simili a quelle impiegate nelle recenti campagne di richiamata, inclusa la campagna BazarCall 2021 di WIZARD SPIDER.È molto probabile che questa campagna includerà strumenti comuni di amministrazione remota (RAT) per l'accesso iniziale, strumenti di test di penetrazione pronti all'uso per il movimento laterale e l'implementazione di ransomware o estorsioni di dati.La campagna di richiamata utilizza e-mail che sembrano provenire da importanti società di sicurezza;il messaggio afferma che la società di sicurezza ha identificato un potenziale compromesso nella rete del destinatario.Come per le precedenti campagne di richiamata, gli operatori forniscono un numero di telefono che il destinatario può chiamare (Figura 1).Figura 1. Esempio di email di phishing a tema CrowdStrikeStoricamente, gli operatori delle campagne di richiamata tentano di persuadere le vittime a installare software RAT commerciale per ottenere un punto d'appoggio iniziale sulla rete.Ad esempio, CrowdStrike Intelligence ha identificato una campagna di callback simile nel marzo 2022 in cui gli attori delle minacce hanno installato AteraRMM seguito da Cobalt Strike per assistere con il movimento laterale e distribuire malware aggiuntivo.Sebbene CrowdStrike Intelligence non possa attualmente confermare la variante in uso, gli operatori di callback probabilmente utilizzeranno il ransomware per monetizzare la propria operazione.Questa valutazione viene effettuata con moderata sicurezza, poiché le campagne BazarCall del 2021 porterebbero alla fine al ransomware Conti, sebbene questo ransomware-as-a-service (RaaS) abbia recentemente cessato le operazioni.Questa è la prima campagna di callback identificata che impersona entità di sicurezza informatica e ha un potenziale successo maggiore data la natura urgente delle violazioni informatiche.CrowdStrike non contatterà mai i clienti in questo modo.Tutti i clienti che ricevono un'e-mail come quelle in questo avviso devono inoltrare e-mail di phishing a csirt@crowdstrike.com.Iscriviti ora per ricevere le ultime notifiche e gli aggiornamenti da CrowdStrike.Rileva, previeni e rispondi agli attacchi, anche alle intrusioni prive di malware, in qualsiasi fase, con la protezione degli endpoint di nuova generazione.