Киберпреступники начали использовать новый способ проникновения в системы жертв. Он основан на методах социальной инженерии и включает в себя звонок получателя фишингового письма по указанному в сообщении номеру. Впервые такую схему опробовали операторы вымогательского ПО Conti в рамках фишинговой кампании, получившей название BazarCall, еще в прошлом году. Однако принципиальное отличие нынешней волны атак состоит в том, что злоумышленники выдают себя за представителей компаний, занимающихся обеспечением кибербезопасности, в частности, Mandiant и CrowdStrike.

В фишинговом письме утверждается, что в ходе ежедневного аудита компания выявила подозрительную активность в сегменте сети, к которой подключена рабочая станция получателя. Далее злоумышленники утверждают, что уже связались с IT-отделом компании-жертвы, и его специалисты предоставили контакт получателя, чтобы решить вопрос непосредственно с ним. В письме указан номер телефона, по которому получателю предлагают связаться с «киберзащитниками», чтобы выбрать удобное время для детальной проверки и устранения возможных проблем.

Специалисты компании CrowdStrike (самой настоящей, а не фишинговой) опасаются, что такая схема может вызвать доверие у получателя и привести к самым серьезным неприятностям. В случае, если звонок состоится, операторы «помогут» пользователю установить на его рабочую станцию инструмент для проверки безопасности. В действительности он обеспечивает хакерам проникновение в корпоративную сеть с возможностью дальнейшего похищения конфиденциальных данных и загрузки дополнительного вредоносного ПО. Предполагается, что за атаками могут стоять операторы зловреда-шифровальщика Quantum.