Atacul de phishing Luna Moth
Biroul Federal de Investigații (FBI) din SUA a emis un avertisment cu privire la atacurile de inginerie socială lansate de un grup numit Luna Moth. Acest actor criminal de extorcare a vizat firme de avocatură în ultimii doi ani, folosind o combinație de e-mailuri de phishing și inginerie socială prin telefon pentru a fura date sensibile și a solicita plăți.
Cuprins
Cum funcționează: Ghidul de phishing pentru apeluri inverse
Luna Moth, cunoscută și sub numele de Chatty Spider, Silent Ransom Group (SRG), Storm-0252 și UNC3753, este activă cel puțin din 2022. Se bazează în principal pe o tactică numită callback phishing sau telephone-oriented attack delivery (TOAD). E-mailurile sale de phishing, care par inofensive și se învârt în jurul facturilor și abonamentelor, păcălesc destinatarii să apeleze un număr de telefon pentru a „anula” o plată sau un abonament.
În timpul acestor apeluri, atacatorii ghidează victima să instaleze un program de acces la distanță, obținând acces neautorizat la sistemele sale. Având controlul asupra acestor dispozitive, actorii cibernetici colectează informații sensibile și urmăresc cererile de extorcare pentru a preveni scurgerea sau vânzarea datelor către alți infractori cibernetici.
De la BazarCall la uzurparea de identitate IT
Aceasta este aceeași echipă din spatele campaniilor anterioare BazarCall care au răspândit ransomware precum Conti . De la închiderea Conti, Luna Moth și-a intensificat eforturile. În special, începând cu martie 2025, și-au evoluat strategia apelând direct la persoanele vizate, dându-se drept angajați ai departamentului IT. Această abordare manipulează angajații pentru a se alătura unei sesiuni de acces la distanță, adesea sub pretextul efectuării de mentenanță peste noapte.
Instrumente ale meseriei: Integrarea cu software legitim
Odată ce accesul este acordat, Luna Moth escaladează privilegiile și folosește instrumente legitime pentru a exfiltra datele:
- Rclonă
- WinSCP
- Zoho Assist
- Sincro
- AnyDesk
- Splashtop
- Atera
Deoarece acestea sunt instrumente autentice de gestionare a sistemului și acces la distanță, ele evită adesea detectarea de către instrumentele de securitate. Dacă dispozitivul compromis nu are privilegii de administrator, WinSCP portabil este utilizat pentru a strecura datele furate. Deși este o tactică recentă, s-a dovedit remarcabil de eficientă, ducând la multiple compromisuri reușite.
Semne de probleme: Indicatori ai unui atac de molii Luna
Operatorii de securitate cibernetică ar trebui să fie atenți la anumite semnale de alarmă:
- E-mailuri sau mesaje vocale neașteptate de la un grup anonim care pretinde furt de date.
- E-mailuri privind reînnoirea abonamentelor care necesită un apel telefonic pentru a evita taxele.
- Apeluri telefonice nesolicitate de la presupuși membri ai personalului IT care solicită acces de la distanță la dispozitivul dumneavoastră.
- Conexiuni suspecte efectuate prin WinSCP sau Rclone către adrese IP externe.
Atacuri cu tempo ridicat și falsificare a informațiilor de asistență
Cercetările arată că campaniile de phishing cu apel invers „de mare viteză” ale Luna Moth se concentrează pe sectoarele juridic și financiar din SUA. Aceștia utilizează platforme precum Reamaze Helpdesk și alte programe software pentru desktop la distanță. Numai în martie 2025, Luna Moth a înregistrat cel puțin 37 de domenii prin GoDaddy. Majoritatea acestor domenii falsifică birourile de asistență IT și portalurile de asistență ale organizațiilor vizate.
Aceste domenii cu tematică de asistență tehnică încep de obicei cu numele companiei vizate. Atacatorii se bazează pe un număr mic de registratori și furnizori de nameservere, domaincontrol.com fiind cel mai frecvent.
Rămâi Alert!
Campaniile Luna Moth evidențiază nevoia critică de vigilență. Prin combinarea instrumentelor fundamentale cu ingineria socială și falsificarea domeniilor, acestea ocolesc multe apărări și pun în pericol datele sensibile. Recunoașterea tacticilor lor este primul pas pentru a rămâne protejate.
