This post is also available in:
English (אנגלית)
מתקפת הנדסה חברתית חדשה משתמשת בטכניקת "העתק-הדבק" כדי להערים על קורבנות – האקרים גורמים להודעת שגיאה מזויפת לקפוץ בדפדפן עם הוראות "install root certificate" שמובילות להתקנה של נוזקות גונבות מידע.
חוקרים מ-Proofpoint מסבירים שהקמפיין מתחיל בדרך כלל באמצעות התקפות ספאם או הזרקות לדפדפן – המשתמש מקבל תיבת טקסט pop-up המציינת כי אירעה שגיאה בעת ניסיון לפתוח מסמך או דף אינטרנט, ומורה לו להעתיק ולהדביק סקריפט "תיקון" לתוך מסוף Windows PowerShell. במציאות, המשתמש מריץ סקריפטים זדוניים שמדביקים את המחשב שלו.
החוקרים מדווחים בנוסף כי צפו בגורמי איום שונים משתמשים בתוכנות זדוניות כגון DarkGate, Matanbuchus, NetSupport וגונבי מידע שונים. "למרות שרשת ההתקפה דורשת התערבות משמעותית מצד המשתמש כדי להצליח, ההנדסה החברתית חכמה מספיק כדי להציג בפני המשתמש מה שנראה כמו בעיה אמיתית ופתרון מידי, מה שעלול להניע את המשתמש לפעול מבלי לקחת בחשבון את הסיכון", כך נכתב בדו"ח של Proofpoint.
על פי Cybernews, כשמפעילים את הסקריפט הוא מוחק את מטמון ה-DNS, מסיר תוכן מה-clipboard ומציג הודעת דמה למשתמש בעודו מוריד קובץ סקריפט PowerShell מרוחק אחר. הסקריפט הנוסף הזה נועד להוריד עוד קובץ סקריפט שבודק אם המחשב אינו וירטואלי ולאחר מכן ממשיך לסקריפט הרביעי והסופי שמוריד ומפעיל את התוכנה הזדונית עצמה.
נוזקה שנראה כי שימשה פעמים רבות היא Lumma Stealer התוקפת ארנקי קריפטו, גונבת ומסירה מידע משתמש ואסימוני הפעלה. תוקפים רבים משתמשים ב-Lumma כדי להוריד מטענים זדוניים אחרים ששימשו לכריית מטבעות קריפטו ולביצוע משימות זדוניות אחרות.
החוקרים מ-Proofpoint מתארים כי אחד מהתוקפים המכונה TA571 נוהג להפיץ ספאם ולשלוח קמפיינים בדואר אלקטרוני בנפח גבוה כדי לספק ולהתקין מגוון תוכנות זדוניות עבור לקוחותיו, שהינם עברייני הסייבר. "שרשרת ההתקפות היא ייחודית והיא מתיישרת עם המגמה הכוללת בה הבחינה Proofpoint, ששחקני איומים פושעי סייבר מאמצים שרשראות התקפה חדשות, מגוונות ויצירתיות יותר ויותר", כך מסכמים החוקרים.
