Upozorenje: Cyberkriminalci Imanju LinkedIn Obavijesti za Distribuciju Malware-a
Cyberkriminalci koriste prevare putem LinkedIn obavijesti kako bi isporučili malware nazvan ConnectWise Remote Access Trojan (RAT). Ovu informaciju donosi nova studija stručnjaka iz cyber sigurnosti, Cofense Intelligence.
Kako Funkcionira Nova Phishing Kampanja?
Prevara, koja je najvjerojatnije započela u svibnju 2024. godine, uključuje email koji imitira obavijest koju LinkedIn šalje kada korisnik dobije InMail poruku. Na ovoj poslovnoj platformi, korisnici koji nisu međusobno povezani ne mogu razmjenjivati poruke, osim ako je pošiljatelj Premium član, koji može koristiti InMail za kontaktiranje drugih korisnika.
Opasni Znakovi koje Trebate Prepoznati
Kada primitak ovakve poruke aktivira neobičnu email notifikaciju, napadači su već poduzeli potrebne mjere da zavara. Evo nekoliko ključnih znakova upozorenja za koje treba paziti:
- Predložak emaila koji se koristi izbačen je iz upotrebe od strane LinkedIna prije gotovo pet godina.
- Osoba za koju se tvrdi da je projektni menadžer ili prodajni direktor ne postoji.
- Priložena slika nazvana je “executive16.png” i ne pripada pošiljatelju.
- Profilna slika u emailu pripada predsjedniku Korejskog društva za građansko inženjerstvo, Cho So-young.
- Kompanija za koju pošiljatelj navodno radi, “DONGJIN Weidmüller Korea Ind”, također ne postoji.
Kako se Malware Širi?
Email uključuje jedan od dva gumba: “Read More” i “Reply To”. Klikom na bilo koji od njih preuzima se ConnectWise, alat za daljinsku administraciju koji je prvotno bio dio legalnog softvera za daljinsko upravljanje, ConnectWise ScreenConnect. Međutim, cyberkriminalci su preuzeli kontrolu nad ovim alatom i koriste ga kao Trojanac za daljinski pristup (RAT) kako bi neovlašteno preuzeli kontrolu nad sustavima.
Kako Email Prolazi Kroz Sigurnosne Filtre?
Iako je email neuspješno prošao SPF (Sender Policy Framework) provjeru i nije bio potpisan s DKIM (DomainKeys Identified Mail), sustav ga nije potpuno odbio. Razlog tome leži u postavkama sigurnosne politike emaila: DMARC (Domain-based Message Authentication, Reporting, and Conformance) bio je postavljen na “oreject”, umjesto da potpuno odbija sumnjive emailove. Ova postavka omogućila je da email bude označen kao spam, ali ipak završi u inboxu primatelja.
Zaključak
Phishing napadi evoluiraju, a cyberkriminalci koriste sve sofisticiranije metode. Kako biste se zaštitili, uvijek budite oprezni prema sumnjivim emailovima, provjerite identitete pošiljatelja i obavezno osigurajte svoje email postavke kako biste spriječili ovakve napade. Znanje o ovim prijetnjama može vam pomoći u očuvanju sigurnosti vaših informacija online.
