Tag: Phishing

Esta nueva y sofisticada campaña de phishing se dirige a contratistas del gobierno de EE. UU.

Post author By lisa nichols
Post date August 17, 2024
No Comments on Esta nueva y sofisticada campaña de phishing se dirige a contratistas del gobierno de EE. UU.

[ad_1]

Se ha descubierto a ciberdelincuentes ejecutando un nuevo esquema de fraude malicioso dirigido a contratistas que buscan trabajo con el gobierno de Estados Unidos.

Los investigadores de Perception Point revelaron que la campaña “Uncle Scam” elude los controles de seguridad para entregar mensajes de phishing sofisticados diseñados por LLM para ser muy convincentes.

Los atacantes utilizan herramientas avanzadas, incluidas herramientas de phishing impulsadas por IA y… microsoft Plataforma Dynamics 365, para implementar ataques persuasivos de varios pasos.

(Crédito de la imagen: Punto de percepción)

Uso indebido de Microsoft Dynamics 365 y LLM

La campaña comienza con un correo electrónico de phishing que parece provenir de una agencia gubernamental legítima de EE. UU., como la Administración de Servicios Generales (GSA).

El correo electrónico invita a los destinatarios a presentar ofertas para proyectos federales, simulando avisos de adquisiciones reales, pero al hacer clic en el enlace proporcionado en el correo electrónico, el usuario es redirigido a un sitio web falso de la Administración de Servicios Generales que se parece mucho al sitio legítimo.

Los atacantes hicieron todo lo posible para copiar el sitio web oficial, incluso agregaron enlaces de navegación y una barra de búsqueda que redirige a los usuarios a páginas reales de GSA. Como referencia, la gama GSA legítima es www.gsa.gov, Mientras que el dominio fraudulento puede tener este formato “gsa-gov-dol-procurement-notice(.)procure-rfq(.)online”.

Una vez en el sitio de phishing, se solicita a los usuarios que se registren para una Solicitud de cotización (RFQ) proporcionando su correo electrónico y otros detalles. Este paso adicional no es sólo para mostrar, está diseñado para hacer que su intento de phishing sea más convincente y evitar la detección. Los atacantes complican aún más las cosas al incluir una página CAPTCHA, lo que dificulta que las herramientas de seguridad automatizadas accedan a la página de recopilación de credenciales.

(Crédito de la imagen: Punto de percepción)

Uno de los elementos clave que hace que esta campaña de phishing sea particularmente efectiva es el uso indebido de la plataforma de marketing Dynamics 365 de Microsoft. Los atacantes explotan el dominio “dyn365mktg.com”, asociado con Dynamics 365, para enviar correos electrónicos maliciosos. Debido a que este dominio está previamente autenticado por Microsoft y cumple con los estándares DKIM y SPF, es más probable que los mensajes de phishing eviten los filtros de spam y lleguen a las bandejas de entrada de destinatarios desinformados.

Esta credibilidad incorporada, junto con la alta capacidad de entrega de los correos electrónicos de este dominio, hace que un intento de phishing parezca legítimo y aumenta sus posibilidades de éxito. El uso de una plataforma de marketing confiable como Dynamics 365 agrega una capa de credibilidad a los mensajes de phishing, haciéndolos más convincentes y más difíciles de detectar.

La campaña “Uncle Scam” también utiliza modelos de lenguaje grandes (LLM) para elaborar correos electrónicos de phishing. Estos modelos avanzados permiten a los atacantes crear mensajes de phishing de alta calidad y con contexto preciso que imitan el tono y la estructura de las comunicaciones legítimas. Estos correos electrónicos suelen ser lingüísticamente correctos y tienen un tono profesional, ya que incorporan detalles específicos de las secciones burladas.

El uso de LLM permite a los atacantes escalar de manera eficiente sus esfuerzos de phishing. Pueden producir múltiples versiones del mismo mensaje de phishing con ligeras diferencias. Esta escalabilidad garantiza que cada correo electrónico sea único pero de calidad constante, lo que dificulta que las víctimas detecten el fraude.

Para proteger a su organización de ser víctima de sofisticados ataques de phishing como Uncle Scam, Perception Point recomienda tomar las siguientes precauciones:

Vuelva a verificar el correo electrónico del remitente: verifique siempre la dirección de correo electrónico del remitente para detectar signos de suplantación de identidad.
Pase el cursor sobre un enlace antes de hacer clic en él: antes de hacer clic en cualquier enlace, coloque el cursor sobre él para revelar la URL real y asegurarse de que sea legítima.
Busque errores: preste atención a errores gramaticales simples, redacción inusual o inconsistencias en el contenido del correo electrónico.
Aproveche las herramientas de detección avanzadas: implemente soluciones de seguridad de múltiples capas basadas en inteligencia artificial para detectar y neutralizar intentos de phishing sofisticados.
Eduque a su equipo: capacite periódicamente a los empleados sobre cómo reconocer correos electrónicos fraudulentos y la importancia de comprobar las comunicaciones no solicitadas.
Confíe en sus instintos: si un correo electrónico o una oferta parece demasiado bueno para ser verdad, probablemente lo sea. Verifique siempre la autenticidad de dichas comunicaciones a través de canales confiables.

Las tácticas de los ciberdelincuentes están evolucionando y la campaña de phishing “Uncle Scam” es un recordatorio de este hecho. Los piratas informáticos han desarrollado estafas de phishing muy convincentes y difíciles de detectar con la ayuda de plataformas confiables como Microsoft Dynamics 365 y herramientas avanzadas de inteligencia artificial. Sin embargo, mediante la vigilancia y medidas proactivas correctas, las organizaciones y empresas pueden protegerse de estas amenazas.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags campaña, contratistas, del, dirige, está, gobierno, nueva, Phishing, sofisticada

Featured

Microsoft es la empresa citada con más frecuencia en estafas de phishing

Post author By lisa nichols
Post date July 31, 2024
No Comments on Microsoft es la empresa citada con más frecuencia en estafas de phishing

[ad_1]

Check Point Research (CPR) ha publicado una nueva investigación que examina el mayor… Suplantación de identidad Fraudes en el segundo trimestre de 2024.

Conjuntos de calificación de RCP microsoft Como los más imitados, apareciendo en el 57% de los mensajes, con manzana Ascendió al segundo lugar con un 10%.

También hubo varias entradas nuevas en la lista de los diez primeros, con Instagram, WhatsAppAdidas representa el 2,3% de las amenazas combinadas.

Amenazas crecientes

La tecnología sigue siendo la industria más vulnerable a la suplantación de identidad, siendo los proveedores de servicios esenciales un objetivo común porque a menudo almacenan información confidencial, como información financiera y datos personales.

Al hacerse pasar por Microsoft, los ciberdelincuentes suelen inventar una amenaza para su dispositivo que requiere que descargue un software de protección contra fraudes y le pide que siga un enlace o un archivo adjunto. Los correos electrónicos fraudulentos también incluyen regularmente avisos de “error en la entrega de mensajes”, cuyo objetivo es lograr que los usuarios sigan un enlace a un sitio web que se parece mucho a la página de inicio de sesión de Outlook, engañando a los usuarios para que revelen sus credenciales de inicio de sesión.

Del mismo modo, los imitadores de Apple a menudo afirmarán que la ID de Apple de un usuario ha sido bloqueada o comprometida, y alentarán a los usuarios a seguir un enlace para iniciar sesión en una página de inicio de sesión falsa.

Las estafas minoristas suelen aparecer como sitios de compras fraudulentas que se parecen a la marca, con el objetivo de que los usuarios introduzcan sus datos de pago.

Manténgase alerta

Los ataques de phishing están diseñados para asustar a los usuarios para que actúen rápidamente y sigan sus instrucciones, llevándolos a un sitio fraudulento para ingresar los detalles de su cuenta.

“Los ataques de phishing siguen siendo una de las amenazas cibernéticas más extendidas y, a menudo, son el punto de entrada para campañas mucho más amplias. [in] Omar Dembinski, director del grupo de datos de Check Point Software, advirtió sobre la “cadena de suministro”.

Dembinski aconseja a los usuarios que siempre eviten hacer clic en enlaces de spam, verifiquen cuidadosamente las direcciones de correo electrónico y utilicen la autenticación multifactor. Si cree que ha recibido una estafa de phishing, los usuarios del Reino Unido pueden enviarla a la policía en Action Fraud en [email protected].

Actuar rápidamente es crucial si cree que ha sido víctima de un fraude, así que comuníquese con su banco e inicie una investigación sobre cualquier actividad sospechosa.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags citada, Con, empresa, estafas, frecuencia, más, Microsoft, Phishing

Featured

Microsoft ha sido criticado por enviar advertencias por correo electrónico sobre ataques que se parecen mucho a ataques de spam y phishing.

[ad_1]

microsoft Microsoft envió recientemente avisos por correo electrónico advirtiendo a algunos clientes sobre una violación de datos que podría afectar su información personal. Sin embargo, la forma en que lo hizo la compañía ha generado fuertes críticas, y algunas personas dicen que los correos electrónicos que envía Microsoft parecen, en el mejor de los casos, spam. Suplantación de identidad lo peor.

El investigador de ciberseguridad (y ex empleado de Microsoft) Kevin Beaumont recientemente recurrió a LinkedIn para explicar a sus seguidores que no están siendo sometidos a ataques de phishing y que esto es simplemente una mala comunicación por parte de Microsoft:

“Microsoft tuvo una violación por parte de Rusia que afectó los datos del cliente y no dio seguimiento a la violación de datos del cliente en Microsoft 365. Las notificaciones no se enviaron al portal, sino que enviaron correos electrónicos a los administradores de inquilinos”. Beaumont Él dijo“Los correos electrónicos pueden convertirse en spam, y se supone que las cuentas de administrador de inquilinos son cuentas seguras sin correo electrónico. Las organizaciones tampoco han sido informadas a través de los administradores de cuentas. Es una obviedad “generalizada”.

Borrar URL

Una de las principales cuestiones, TechCrunch Lo sorprendente es que Microsoft agregó un “enlace seguro” al correo electrónico, que conduce a un dominio que no parece estar relacionado con Microsoft: “purviewcustomer.powerappsportals.com”.

“Básicamente, la alerta crítica parece un ataque de phishing”, dijo un destinatario en X.

TechCrunch señala que muchas personas que recibieron este correo electrónico pensaron lo mismo, ya que el enlace a urlscan.io se envió “más de cien veces”. URL Scan es un servicio que puede determinar si un sitio web es malicioso o no.

Además, el portal de soporte de Microsoft tenía algunas publicaciones en las que los clientes buscaban aclaraciones sobre si los correos electrónicos que recibían eran legítimos o no.

“Este correo electrónico tenía varias señales de alerta para mí, como solicitar el ID del inquilino y las direcciones de correo electrónico de los administradores o administradores de alto nivel, una página de PowerApps sin información básica y algunas búsquedas rápidas en Google que no encontraron nada relacionado con la dirección de este correo electrónico. Correo electrónico o dirección. [sic] “Contenido”, escribió una persona, “¿Alguien puede confirmar que se trata de una solicitud de correo electrónico legítima de Microsoft?”

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags advertencias, ataques, Correo, criticado, electrónico, enviar, Microsoft, mucho, parecen, Phishing, por, sido, sobre, Spam

News

Los expertos advierten que la tecnología TON Blockchain impulsada por Telegram corre el riesgo de sufrir ataques de phishing

[ad_1]

El sector Web3 en general es muy vulnerable a los ciberataques y hackeos, pero la cadena de bloques Open Network (TON) respaldada por Telegram se ha encontrado en problemas especiales. Según la firma de seguridad blockchain SlowMist, la blockchain TON enfrenta un alto riesgo de ataques de phishing. Todo el ecosistema TON está actualmente amenazado, lo que podría afectar negativamente los planes de blockchain en el futuro cercano, especialmente a medida que el proyecto se convierta en cierto es que Su objetivo es tener 500 millones de usuarios en toda la cadena para 2028.

¿Qué dicen los expertos en Internet?

Yu Xian, fundador de SlowMist, alertó al equipo detrás Cadena de bloques de dibujos animados Sobre las amenazas de phishing que se avecinan en la red el 23 de junio. En los ataques de phishing, un actor atrae a víctimas potenciales para que compartan su información privada (personal y financiera) con el fin de explotar la información y robar dinero.

“Cada vez hay más actividades de phishing en el ecosistema de TON. El ecosistema de Telegram es muy gratuito y muchos enlaces de phishing (o modelos de bots) se difunden a través de grupos de mensajes, lanzamientos aéreos y otros métodos engañosos.

Dado que los usuarios de TON pueden vincular sus billeteras a sus cuentas de Telegram, Xian teme que si la integridad de las billeteras vinculadas a TON se ve comprometida, los mensajes privados de los usuarios afectados también podrían quedar expuestos.

El experto cree que los desarrolladores detrás de la blockchain TON deberían empezar a tomar medidas para mitigar la situación.

De acuerdo a Análisis de cuerdasEn el año 2022, las víctimas perdieron aproximadamente 516,8 millones de dólares (alrededor de 4.314 millones de rupias) debido a estafas de phishing con criptomonedas. En 2023, esta cifra ascendía a 374,6 millones de dólares (alrededor de 3.127 millones de rupias) en noviembre.

Hasta el momento, TON no ha reaccionado al desarrollo.

toneladas de crecimiento

Para los fundadores de Telegram, los hermanos Durov, la idea de una red abierta tomó forma por primera vez alrededor de 2018. Más adelante, en 2022, la red principal de TON estaba completamente operativa.

Recientemente, TON apareció en Binance para depósitos y retiros. En el momento de escribir este artículo, TON cotizaba a 7,31 dólares (alrededor de 610 rupias) por día. CoinMarketCap.

Desde 2022, la empresa de inversión Web3 DWF Labs ha inyectado 10 millones de dólares (alrededor de 80 millones de rupias) en la red Blockchain de capa uno. Casi al mismo tiempo, Telegram dijo que lo haría. subasta Nombres de usuario raros en el mercado TON.

Los enlaces de afiliados pueden generarse automáticamente; consulte nuestro sitio web Declaración de ética Para detalles.

[ad_2]

Source Article Link

Tags advierten, ataques, blockchain, corre, expertos, impulsada, Los, Phishing, por, riesgo, sufrir, tecnología, Telegram, TON

Featured

Este nuevo y peligroso grupo de phishing está infectando a víctimas en toda Europa

Post author By lisa nichols
Post date June 5, 2024
No Comments on Este nuevo y peligroso grupo de phishing está infectando a víctimas en toda Europa

[ad_1]

Investigadores de ciberseguridad de Resecurity han descubierto algo nuevo Suplantación de identidad Lo cual está ganando rápidamente gran popularidad entre los ciberdelincuentes.

V3B cuesta entre $130 y $450 por mes, dependiendo del paquete de funciones que adquiera el comprador. Los desarrolladores lo anunciaron a través de Telegram, en un grupo que rápidamente creció a más de 1250 miembros.

Un kit de phishing es una colección de herramientas y recursos de software que los ciberdelincuentes utilizan para lanzar ataques de phishing. Estos kits simplifican el proceso de creación y gestión de campañas de phishing, lo que facilita a los atacantes engañar a los usuarios para que proporcionen información confidencial. Normalmente, el phishing implica un correo electrónico que obliga a la víctima a responder apresuradamente y una página de destino (normalmente una página de inicio de sesión falsa de un servicio conocido como Office 365 o Google) donde se recopilan las credenciales de inicio de sesión confidenciales.

Capture contraseñas de un solo uso

V3B crea plantillas diseñadas profesionalmente que pueden imitar muchos sitios web y servicios conocidos. Utiliza código JavaScript altamente ofuscado a través de un sistema de gestión de contenido (CMS) personalizado, evadiendo con éxito la detección de muchos software antiphishing y robots de motores de búsqueda. Las páginas de destino están disponibles en diferentes idiomas, incluido el suomi (finlandés), francés, italiano, polaco y alemán.

Se dice que sus usuarios actualmente se hacen pasar por 54 instituciones financieras importantes en Irlanda, Países Bajos, Finlandia, Austria, Alemania, Francia, Bélgica, Grecia, Luxemburgo e Italia. Sin embargo, la mayoría de las instituciones financieras hoy en día requieren contraseñas de un solo uso, o… Autenticación multifactorComo segunda capa de seguridad.

V3B también puede evitar esto con éxito, ya que viene con un panel de administración (uPanel) que permite a los estafadores hablar con sus víctimas a través de una interfaz de chat. De esta manera, pueden engañar a las víctimas para que compartan los códigos, y el truco aparentemente funciona bien.

Finalmente, la suite está diseñada para funcionar en plataformas móviles y de escritorio.

“Las técnicas utilizadas por los bancos para verificar las identidades de los clientes pueden variar”, dijeron los investigadores. “Sin embargo, el hecho de que los estafadores hayan comenzado a implementar soporte para mecanismos alternativos de validación OTP/TAN, en lugar de depender únicamente de métodos tradicionales basados en SMS, puede subrayar los desafíos que enfrentarán los equipos de prevención de fraude al combatir la apropiación de cuentas tanto para el sector privado como para el sector privado. clientes corporativos.

a través de pitidocomputadora

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags está, este, Europa, grupo, infectando, nuevo, peligroso, Phishing, Toda, víctimas

Featured

Se enviaron millones de correos electrónicos de phishing a través de bots para impulsar LockBit Ransomware

Post author By lisa nichols
Post date May 14, 2024
No Comments on Se enviaron millones de correos electrónicos de phishing a través de bots para impulsar LockBit Ransomware

[ad_1]

Los piratas informáticos vuelven a sacar LockBit Secuestro de datospero esta vez, algunos fueron descubiertos usando una plataforma de phishing antigua y ampliamente disponible llamada Phorpiex.

Los investigadores de Proofpoint, que han estado monitoreando la campaña desde finales de abril de 2024, notaron que un afiliado no identificado de LockBit estaba utilizando el grupo de phishing Phorpiex para entregar LockBit Black (también conocido como LockBit 3.0) a tantos puntos finales como fuera posible.

La campaña no parece ser particularmente dirigida o personal, los atacantes están lanzando una amplia red y simplemente mirando lo que atrapan.

Malas intenciones

La campaña también parece carecer de personalización con respecto al correo electrónico de phishing en sí. Proofpoint dice que todos los correos electrónicos salen de la misma dirección: Jenny@gsd[.]com: la misma dirección que se vio en campañas de malware ya en enero de 2023. En el cuerpo del correo electrónico, se pide a la víctima que vea el documento adjunto y nada más.

El archivo adjunto es un archivo ZIP que contiene un archivo EXE que, si se ejecuta, eliminará LockBit 3.0. Curiosamente, el ransomware bloquea el dispositivo localmente y no intenta penetrar ninguna red. Esto puede limitar sus capacidades de cifrado, pero también evita cualquier detección o bloqueo de la red.

LockBit es un conocido ransomware como servicio, con diferentes versiones circulando por la web oscura. Entre las versiones más populares se encuentran LockBit 2.0 y LockBit Green. Esta versión, LockBit 3.0 (LockBit Black), fue supuestamente creada a principios del verano de 2022 por algunos de los afiliados del ransomware.

A principios de este año, un equipo de organismos internacionales encargados de hacer cumplir la ley participó en una importante campaña destinada a atacar a quienes habían sido blanco de ataques. La infraestructura de LockBit está caídaConfiscaron varios dispositivos y muchas criptomonedas que habían sido extorsionadas a lo largo de los años, pero como no se realizaron arrestos, LockBit resurgió aproximadamente una semana después.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags bots, correos, electrónicos, enviaron, impulsar, LockBit, millones, para, Phishing, Ransomware, través

Featured

Monday.com removes feature after it was abused in phishing attacks

Post author By lisa nichols
Post date May 10, 2024
No Comments on Monday.com removes feature after it was abused in phishing attacks

[ad_1]

Popular project management and collaboration tool Monday.com was forced to disable one of its features after it was abused by a threat actor to send out phishing emails.

The “Share Update” feature allows users to share real-time updates, progress, or important information with team members, or stakeholders. Users can post updates, attach files or images, mention specific team members, and even set up automatic notifications for certain updates.

But a threat actor has now hijacked the feature to send out mass emails to people outside their account, leading to monday.com having to temporarily disable it.

No customer data compromised

The company told BleepingComputer it was made aware of phishing emails seemingly coming from its email accounts. The emails were sent via SendGrid, and were coming from the [email protected] address. They passed SPF, DMARC, and DKIM authentications.

The messages pretended to come from the Human Resources department and asked the recipients to acknowledge the “organization’s workplace sex policy” or submit feedback as part of a “2024 Employee Evaluation.”

In the body of the email was a link, shortened with an URL shortener service, leading to a phishing form hosted on formstack.com. Since the forms have been removed in the meantime, we don’t know what kind of information the attackers were after. We also don’t know how many of these emails were sent.

“Unfortunately, a user misused this feature by sending a phishing message. We promptly suspended this user and removed the feature,” the company confirmed to the publication in a statement. “This feature has no connection to data hosted on monday.com or access to any customer accounts or data. We have reached out and shared precautions with the email recipients of the phishing message.”

Monday.com is a major project management platform, used by the likes of Uber, Canva, Coca-Cola, and others.

You haven’t actually got a massive road toll bill – it’s a phishing scam, FBI warns

Post author By lisa nichols
Post date April 16, 2024
No Comments on You haven’t actually got a massive road toll bill – it’s a phishing scam, FBI warns

[ad_1]

If you get an SMS message from a toll service, claiming you owe $12.51 in unpaid fees and that if you don’t move fast, you’ll be fined an additional $50, don’t fret – it’s not real.

The Federal Bureau of Investigation (FBI) has issued a warning concerning an ongoing smishing campaign that seems to have hit thousands of American citizens so far.

“Since early-March 2024, the FBI Internet Crime Complaint Center (IC3) has received over 2,000 complaints reporting smishing texts representing road toll collection service from at least three states,” the FBI said.

Do not act

The message reads “(State Toll Service Name): We’ve noticed an outstanding toll amount of $12.51 on your record. To avoid a late fee of $50.00, visit https://myturnpiketollservices.com to settle your balance.”

So far, only certain US regions have been hit, with the FBI speculating this means the scam is moving from state to state, and that drivers in other regions could receive a similar SMS message soon. Should that happen, the law enforcement agency says victims should file a complaint with the IC3, and include the scammer’s phone number and the website listed in the message.

Those suspicious if they really do have unpaid tolls should check their account using the service’s legitimate website (as opposed to clicking on the link provided in the SMS message), or by dialing the toll service’s customer service phone number.

Among those impersonated in this campaign is Pennsylvania Turnpike, which later warned the drivers directly: “Some customers have received phishing-attempt text messages claiming to be from the PA Turnpike’s toll services,” BleepingComputer cited the warning. “If you receive such a text, providing you with a link to pay an outstanding toll, do not click on the link, and delete the text.”

Hackers are loading SVG files with multi-stage malware in new phishing attack

Post author By lisa nichols
Post date April 9, 2024
No Comments on Hackers are loading SVG files with multi-stage malware in new phishing attack

[ad_1]

A sophisticated new phishing attack was spotted in the wild, leveraging a wide variety of tools to bypass antivirus protections and ultimately deliver different Remote Access Trojan (RAT) malware.

According to cybersecurity researchers at Fortinet, an unidentified threat actor was seen sending phishing emails, stating a shipment has been delivered, and attaching an invoice. This attachment, however, is a Scalable Vector Graphics (SVG) file which, when run, triggers the infection sequence.

The SVG file drops a ZIP archive created with BatCloak – a tool designed to help malware bypass antivirus protection. This archive unpacks a ScrubCrypt batch file, which is another antivirus-evading tool which, in turn, sets up persistence, and bypasses AMSI and ETW protections to deliver the Venom RAT.

Rat infestation

While ScrubCrypt was first seen last year, and linked to the 8220 Gang threat actor, Fortinet does not mention if the same group was behind this campaign as well.

Venom RAT is described as a fork of Quasar RAT, and a powerful remote access trojan allowing threat actors full system takeover, sensitive data exfiltration, and more.

“While Venom RAT’s primary program may appear straightforward, it maintains communication channels with the C2 server to acquire additional plugins for various activities,” the researchers said in the report. “This includes Venom RAT v6.0.3 with keylogger capabilities, NanoCore RAT, XWorm, and Remcos RAT.

“This [Remcos RAT] plugin was distributed from VenomRAT’s C2 using three methods: an obfuscated VBS script named ‘remcos.vbs,’ ScrubCrypt, and Guloader PowerShell,” they added.

Besides Venom RAT, the researchers observed the malware dropping Remcos RAT, XWorm, NanoCore RAT, and a stealer that grabs information from cryptocurrency wallets such as Atomic Wallet, Electrum, Exodus, Jaxx Liberty, and others. Information from Foxmail and Telegram were also being exfiltrated to a remote server, they concluded.

The best way to protect against these attacks is to be extra careful when receiving emails with links, attachments, or similar calls to action.

Via The Hacker News

This new phishing attack targets iPhone and Android alike via RCS

Post author By lisa nichols
Post date March 28, 2024
No Comments on This new phishing attack targets iPhone and Android alike via RCS

[ad_1]

A new phishing service has been detected sporting a unique way of approaching iOS and Android users.

The Phishing-as-a-Service (PhaaS) tool, called “Darcula” and uncovered by researchers at Netcraft, stands out from the crowd as it reaches out to its victims via the Rich Communication Services (RCS) protocol for Google Messages and iMessage, instead of the usual Short Message System (SMS).

There are two reasons for the move to RCS, they explain, with the first one being an improved sense of legitimacy of the messages. The second one is that RCS messages are end-to-end encrypted, making them impossible to intercept, or block based solely on the contents of the message.

Thousands of domains and IP addresses

It’s impossible to say how many people received these smishing messages, but we do know that they’re located in more than 100 countries around the world.

Hackers who sign up for the service can impersonate dozens of organizations, choosing between more than 200 phishing templates. After paying for the subscription, the threat actors can choose one of many companies in the postal, financial, government, tax, telecommunications, airlines, and utility verticals, and get a dedicated phishing website with properly aligned fonts, logo images, and more.

The researchers described the phishing websites as “high quality”.

“The Darcula platform has been used for numerous high-profile phishing attacks over the last year, including messages received on both Apple and Android devices in the UK, as well as package scams impersonating United States Postal Service (USPS) highlighted in numerous posts on Reddit’s /r/phishing,” the researchers explained in their writeup.

The PhaaS apparently has some 20,000 domains, across 11,000 IP addresses. More than 100 new domains are being added to the tool, every day.

As usual, the best way to defend against phishing is to use common sense. If the message is unexpected, sounds strange, or too good to be true, extra caution is advised.

Via BleepingComputer