Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Phishing Επίθεση ηλεκτρονικού "ψαρέματος" με σκώρο Luna

Επίθεση ηλεκτρονικού "ψαρέματος" με σκώρο Luna

Μέχρι το Mezo το Phishing
Μετάφραση σε:

Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) των ΗΠΑ εξέδωσε προειδοποίηση σχετικά με επιθέσεις κοινωνικής μηχανικής που εξαπολύθηκαν από μια ομάδα που ονομάζεται Luna Moth. Αυτός ο εγκληματίας εκβιαστής έχει στοχεύσει δικηγορικά γραφεία τα τελευταία δύο χρόνια, χρησιμοποιώντας ένα μείγμα email ηλεκτρονικού "ψαρέματος" (phishing) και κοινωνικής μηχανικής μέσω τηλεφώνου για να κλέψει ευαίσθητα δεδομένα και να απαιτήσει πληρωμές.

Πώς Λειτουργούν: Το Εγχειρίδιο του Ηλεκτρονικού Φαινόμενου Ψαρέματος (Phishing) με Επανακλήσεις

Το Luna Moth, επίσης γνωστό ως Chatty Spider, Silent Ransom Group (SRG), Storm-0252 και UNC3753, είναι ενεργό τουλάχιστον από το 2022. Βασίζεται κυρίως σε μια τακτική που ονομάζεται callback phishing ή τηλεφωνικά προσανατολισμένη επίθεση (toad). Τα email phishing που χρησιμοποιεί, τα οποία φαίνονται ακίνδυνα και περιστρέφονται γύρω από τιμολόγια και συνδρομές, ξεγελούν τους παραλήπτες ώστε να καλέσουν έναν αριθμό τηλεφώνου για να «ακυρώσουν» μια πληρωμή ή συνδρομή.

Κατά τη διάρκεια αυτών των κλήσεων, οι εισβολείς καθοδηγούν το θύμα να εγκαταστήσει ένα πρόγραμμα απομακρυσμένης πρόσβασης, αποκτώντας μη εξουσιοδοτημένη πρόσβαση στα συστήματά του. Έχοντας τον έλεγχο αυτών των συσκευών, οι απειλητικοί παράγοντες συλλέγουν ευαίσθητες πληροφορίες και ανταποκρίνονται σε εκβιαστικές απαιτήσεις για να αποτρέψουν τη διαρροή ή την πώλησή τους σε άλλους κυβερνοεγκληματίες.

Από το BazarCall στην πλαστοπροσωπία IT

Αυτή είναι η ίδια ομάδα πίσω από προηγούμενες καμπάνιες BazarCall που διέδιδαν ransomware όπως το Cont i. Από το κλείσιμο της Conti, η Luna Moth έχει εντείνει τις προσπάθειές της. Αξίζει να σημειωθεί ότι από τον Μάρτιο του 2025, έχει εξελίξει τη στρατηγική της καλώντας απευθείας στοχευμένα άτομα, παριστάνοντας τους υπαλλήλους του τμήματος IT. Αυτή η προσέγγιση χειραγωγεί τους υπαλλήλους ώστε να συμμετάσχουν σε μια συνεδρία απομακρυσμένης πρόσβασης, συχνά με το πρόσχημα της εκτέλεσης νυχτερινής συντήρησης.

Εργαλεία του εμπορίου: Συνδυασμός με νόμιμο λογισμικό

Μόλις παραχωρηθεί πρόσβαση, το Luna Moth κλιμακώνει τα προνόμια και χρησιμοποιεί νόμιμα εργαλεία για την κλοπή δεδομένων:

  • Κλώνος
  • WinSCP
  • Zoho Assist
  • Συγχρονισμός
  • Οποιοδήποτε Γραφείο
  • Splashtop
  • Ατέρα

Επειδή πρόκειται για γνήσια εργαλεία διαχείρισης συστήματος και απομακρυσμένης πρόσβασης, συχνά διαφεύγουν της ανίχνευσης από τα εργαλεία ασφαλείας. Εάν η παραβιασμένη συσκευή δεν διαθέτει δικαιώματα διαχειριστή, το WinSCP portable χρησιμοποιείται για την κρυφή ανάκτηση των κλεμμένων δεδομένων. Παρά το γεγονός ότι αποτελεί πρόσφατη τακτική, έχει αποδειχθεί εξαιρετικά αποτελεσματική, οδηγώντας σε πολλαπλές επιτυχημένες παραβιάσεις.

Σημάδια προβλήματος: Ενδείξεις επίθεσης από σκώρο Luna

Οι υπεύθυνοι κυβερνοασφάλειας θα πρέπει να είναι προσεκτικοί για ορισμένες προειδοποιητικές σημαίες:

  • Μη αναμενόμενα email ή φωνητικά μηνύματα από μια ανώνυμη ομάδα που ισχυρίζεται κλοπή δεδομένων.
  • Ηλεκτρονικά μηνύματα ηλεκτρονικού ταχυδρομείου σχετικά με ανανεώσεις συνδρομών που απαιτούν τηλεφωνική κλήση για την αποφυγή χρεώσεων.
  • Ανεπιθύμητες τηλεφωνικές κλήσεις από υποτιθέμενο προσωπικό IT που προτρέπουν για απομακρυσμένη πρόσβαση στη συσκευή σας.
  • Ύποπτες συνδέσεις που πραγματοποιήθηκαν μέσω WinSCP ή Rclone σε εξωτερικές διευθύνσεις IP.

Επιθέσεις υψηλού ρυθμού και πλαστογράφηση από το Helpdesk

Έρευνες δείχνουν ότι οι «υψηλού ρυθμού» καμπάνιες ηλεκτρονικού «ψαρέματος» (phishing) με επανάκληση της Luna Moth επικεντρώνονται στους νομικούς και χρηματοοικονομικούς τομείς των ΗΠΑ. Χρησιμοποιούν πλατφόρμες όπως το Reamaze Helpdesk και άλλο λογισμικό απομακρυσμένης επιφάνειας εργασίας. Μόνο τον Μάρτιο του 2025, η Luna Moth κατέγραψε τουλάχιστον 37 domains μέσω της GoDaddy. Τα περισσότερα από αυτά τα domains πλαστογραφούν τα γραφεία υποστήριξης IT και τις πύλες υποστήριξης στοχευμένων οργανισμών.

Αυτά τα domains με θέμα την υπηρεσία υποστήριξης συνήθως ξεκινούν με το όνομα της στοχευμένης επιχείρησης. Οι επιτιθέμενοι βασίζονται σε έναν μικρό αριθμό καταχωρητών και παρόχων ονομάτων, με το domaincontrol.com να είναι το πιο συνηθισμένο.

Μείνετε σε εγρήγορση!

Οι καμπάνιες της Luna Moth υπογραμμίζουν την κρίσιμη ανάγκη για επαγρύπνηση. Συνδυάζοντας θεμελιώδη εργαλεία με κοινωνική μηχανική και πλαστογράφηση domain, παρακάμπτουν πολλές άμυνες και θέτουν σε κίνδυνο ευαίσθητα δεδομένα. Η αναγνώριση των τακτικών τους είναι το πρώτο βήμα για να παραμείνουν προστατευμένοι.

Τάσεις

Επέκταση προγράμματος περιήγησης ταπετσαρίας παραλίας

Πιθανώς ανεπιθύμητα προγράμματα, Browser Hijackers
Η επέκταση Beach Wallpaper φαίνεται αρχικά ακίνδυνη, προσφέροντας στους χρήστες μια δελεαστική δυνατότητα προβολής γραφικών ταπετσαριών προγράμματος περιήγησης με θέμα την παραλία. Ωστόσο, μετά από...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
33,665
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...