I cybercriminali studiano sempre nuove modalità per ottenere il risultato finale, ovvero accedere al computer della vittima per installare malware o rubare dati sensibili. Una delle tecniche emergenti prevede l’invio di email che sembrano provenire da note aziende di sicurezza (in questo caso CrowdStrike) per effettuare attacchi di “callback phishing“. Per limitare i rischi è sempre consigliata l’installazione di un antivirus efficace, come Malwarebytes Premium.
Callback phishing: attacco con l’inganno
La maggioranza degli attacchi phishing prevede l’invio di allegati infetti e link nell’email che puntano a siti, simili agli originali, in cui l’utente deve inserire le credenziali di login. Negli ultimi anni è aumentato l’uso del callback phishing, ovvero l’invio di una comunicazione per chiedere alla vittima di contattare un numero di telefono.
In uno dei recenti attacchi, i cybercriminali hanno inviato un’email che sembra provenire da CrowdStrike. Nella comunicazione viene segnalato un presunto problema di sicurezza che richiede un’analisi dettagliata. È necessario quindi chiamare un numero di telefono. Al dipendente aziendale verrà successivamente chiesto di installare un tool di amministrazione remota (RAT) che permetterà ai cybercriminali di prendere il controllo del computer.
A questo punto vengono installati altri tool per accedere alla rete locale, rubare i dati aziendali e installare malware, ransomware inclusi, come già accaduto in passato con attacchi simili. Secondo un ricercatore di AdvIntel, lo scopo della campagna di phishing che sfrutta il nome di CrowdStrike è distribuire il ransomware Quantum. Alcuni membri del gruppo provengono dalla gang Conti.