A támadássorozatnak tizenkét ágazati szereplő vált célpontjává, beleértve a kormányzati, a légiközlekedési, a pénzügyi, az energetikai, a telekommunikációs és a divatipari szektort is.
„A művelet adathalász e-mailek kiküldésével kezdődik, melyben például a DocuSign elektronikus aláírásokra specializálódott platform szolgáltatásait próbálják utánozni”
– nyilatkozta a Group-IB.
A kiberbűnözők lemásolják a hivatalos DocuSign e-mailek kinézetét, beleértve az arculati elemeket, logókat és az igényes megjelenést. Az email tárgysorában olyan cím jelenik meg, mint például: „A DocuSign által módosított szerződés aláírásának befejezése”, amely a felhasználót arra ösztönzi, hogy kattintson egy linkre a dokumentum megtekintése és aláírása érdekében, ezzel mindennapos és megbízható kérés látszatát keltve. A támadók hiteles domaineket használnak a megtévesztő linkek továbbítására, növelve annak az esélyét, hogy az e-mail védelmi megoldásokat sikeresen kijátsszák.
„Egy fejlettebb módszer szerint a támadók ismert és megbízható domaineket használnak, például az adobe[.]com-ot, hogy terjesszék az adathalász e-maileket”
– írják a kutatók. A megbízható domainek használatának az az oka, hogy a levelező biztonsági rendszerek kisebb valószínűséggel jelzik ártalmasnak az olyan e-maileket, amik ismert és megbízható platformokhoz tartoznak, mivel ezeknek a domaineknek már megalapozott a hitelességük.
Figyelemre méltó, hogy a támadássorozat során az áldozat e-mail címéből dinamikusan frissíti az adathalász weboldal elemeit például logókat, címeket és egyéb arculati elemeket, így olyan adathalász oldalt hoz létre, amely a célpont intézményét utánozza a hitelesség növelése érdekében.
(Forrás: NKI | Kép: pixabay.com)
