در سپتامبر ۲۰۲۴، یک کمپین فیشینگ با جعل هویت اداره تأمین اجتماعی ایالات متحده آغاز شد که ایمیلهایی حاوی لینکهای مخرب به نصبکننده Remote Access Trojan (RAT) ConnectWise ارسال میکرد. این ایمیلها با تظاهر به ارائه بهروزرسانیهای مزایا و استفاده از تکنیکهایی مانند لینکهای نامتناسب و دکمههای “مشاهده بیانیه” تلاش داشتند گیرندگان را فریب دهند.
- روش توزیع: ایمیلهای فیشینگ با استفاده از لوگوها و عناصر بصری اداره تأمین اجتماعی، لینکهایی را ارائه میدادند که در اولین کلیک، کاربر را به نصبکننده ConnectWise RAT هدایت میکردند. در کلیکهای بعدی، این لینکها به وبسایت رسمی اداره تأمین اجتماعی هدایت میشدند که نشاندهنده استفاده از مکانیزمهای یکبار مصرف و ردیابی کوکیها برای تشخیص بازدیدهای قبلی بود.
- تغییر زیرساخت C2: در ابتدا، مهاجمان از زیرساخت ConnectWise برای فرماندهی و کنترل (C2) استفاده میکردند، اما بهمرور به سرویسهای DNS پویا و دامنههای میزبانیشده توسط خودشان منتقل شدند.
- افزایش فعالیت: فعالیت این کمپین در اوایل تا اواسط نوامبر بهطور قابلتوجهی افزایش یافت و در حوالی روز انتخابات به اوج خود رسید که ممکن است با شرایط سیاسی مرتبط باشد.
یک نظر