Фишинговая кампания скомпрометировала более 80 организаций, используя легитимные инструменты удаленного доступа, такие как SimpleHelp и ScreenConnect. Злоумышленники обманом заставляют жертв установить эти программы, получая полный контроль над системами. Попав внутрь, они крадут учетные данные, развертывают вредоносное ПО и закрепляются в скомпрометированных сетях.
Как злоумышленники действуют с помощью легитимных RMM 🛡️
Злоумышленники рассылают электронные письма или сообщения, имитирующие техподдержку, побуждая жертву скачать SimpleHelp или ScreenConnect. После запуска легитимное программное обеспечение позволяет удаленно управлять системой, не вызывая подозрений у антивирусов. Затем агрессоры развертывают вредоносные нагрузки, такие как стилеры учетных данных, программы-вымогатели или бэкдоры, и изменяют настройки системы для обеспечения постоянного доступа.
Техподдержка, которую никто не просил и не нуждается 🚨
Оказывается, лучший способ проникнуть в компанию — это не сложные эксплойты, а вежливая просьба установить программу удаленного управления. Злоумышленники действуют как тот техник, который появляется без предупреждения, говорит, что на вашем ПК вирус, а затем крадет ваши пароли. Хуже всего то, что программное обеспечение легально; преступление заключается в том, что его вам продали как официальную поддержку.