受害者被指示拨打电话，将他们定向到下载恶意软件的链接。

一项新的回拨网络钓鱼活动正在冒充知名安全公司，试图诱骗潜在受害者拨打电话，指示他们下载恶意软件。

CrowdStrike Intelligence的研究人员发现了这项活动，因为CrowdStrike实际上是其他安全公司中被冒充的公司之一，他们在最近的一篇博客文章中说。

研究人员写道，该活动采用了典型的网络钓鱼电子邮件，旨在欺骗受害者紧急回复 - 在这种情况下，暗示收件人的公司已被破坏，并坚持要求他们拨打消息中包含的电话号码。他们说，如果一个目标人拨打了这个号码，他们就会接触到一个恶意将他们引导到一个网站的人。

“从历史上看，回拨活动运营商试图说服受害者安装商业RAT软件，以便在网络上获得初步立足点，”研究人员在帖子中写道。

研究人员将该活动比作去年被巫师蜘蛛威胁组织称为BazarCall的运动。Sophos研究人员当时解释说，该活动使用了类似的策略，试图刺激人们拨打电话，选择退出续订据称收件人目前正在使用的在线服务。

如果人们拨打电话，另一边的友好人士会给他们一个网站地址，即将成为受害者的人可以取消订阅该服务。但是，该网站反而导致他们进行恶意下载。

CrowdStrike研究人员表示，CrowdStrike还在今年三月确定了一项活动，其中威胁参与者使用回调网络钓鱼活动来安装AteraRMM，然后是Cobalt Strike，以协助横向移动并部署其他恶意软件。

传送门：网络安全意识知识分享交流圈儿——安全扫码

冒充受信任的合作伙伴

他们说，研究人员没有具体说明在这场运动中冒充了哪些其他安全公司，他们在7月8日发现了这一点。在他们的博客文章中，他们包含了发送给冒充CrowdStrike的收件人的电子邮件的屏幕截图，通过使用公司的徽标，这似乎是合法的。

具体来说，电子邮件通知目标它来自其公司的“外包数据安全服务供应商”，并且在“工作站所属的网络段”上检测到“异常活动”。

根据CrowdStrike的说法，该消息声称受害者的IT部门已经收到通知，但需要他们的参与才能在他们的个人工作站上执行审计。该电子邮件指示收件人拨打提供的号码，以便可以执行此操作，这是恶意活动发生时。

虽然研究人员无法识别活动中使用的恶意软件变体，但他们极有可能认为它将包括“用于初始访问的常见合法远程管理工具（RAT），用于横向移动的现成渗透测试工具，以及勒索软件或数据勒索的部署，”他们写道。

传播勒索软件的可能性

研究人员还“适度自信”地评估了活动中的回拨运营商“可能会使用勒索软件将其运营货币化”，他们说，“因为2021年的BazarCall活动最终将导致Conti勒索软件，”他们说。

“这是第一个确定的冒充网络安全实体的回拨活动，鉴于网络漏洞的紧迫性，具有更高的潜在成功，”研究人员写道。

此外，他们强调CrowdStrike永远不会以这种方式联系客户，并敦促任何收到此类电子邮件的客户将网络钓鱼电子邮件转发到 csirt@crowdstrike.com 地址。

一位安全专业人士指出，这种保证是关键，特别是随着网络犯罪分子变得如此擅长社交工程策略，这些策略对于毫无戒心的恶意活动目标来说似乎是完全合法的。

“有效的网络安全意识培训最重要的方面之一是事先教育用户如何联系或不联系他们，以及他们可能被要求采取哪些信息或行动，”网络安全公司Cerberus Sentinel解决方案架构副总裁Chris Clements在给Threatpost的电子邮件中写道。“至关重要的是，用户要了解合法的内部或外部部门如何与他们联系，这不仅仅是网络安全。

传送门：网络安全意识知识分享交流圈儿——安全扫码