Mais de 600 empresas foram vítimas de ataques de phishing nos quais os invasores tentam roubar credenciais de VPN dos funcionários e induzir as vítimas a instalar software de monitoramento e gerenciamento remoto (RMM), relata a empresa de segurança Prodaft . Dizem que os invasores registraram 70 domínios semelhantes aos de provedores de VPN conhecidos antes dos ataques.
Leia também
Google alerta sobre backdoor em VPN
VPN e IA: Milhões de dados expostos
O ataque começa com engenharia social, onde funcionários de empresas são chamados pelos invasores. Os invasores se passam pelo departamento de TI ou pelo help desk da empresa e alegam que há um problema com o login da VPN. As vítimas são então direcionadas para um site de phishing que se assemelha ao site de VPN da empresa. O URL de phishing inclui o nome da empresa. Depois que os invasores obtêm os detalhes necessários da VPN por meio do site de phishing, a vítima é redirecionada para o site VPN real da empresa.
Além das credenciais de VPN, os invasores também tentam roubar endereços de e-mail, nomes de usuário e senhas de contas da Microsoft de maneira semelhante. Para fazer isso, os invasores enviam links maliciosos do Microsoft Teams. Durante ligações telefônicas com alvos, eles às vezes também são tentados a instalar software RMM, como AnyDesk ou TeamViewer.
Depois que os invasores obtêm acesso ao sistema do funcionário por meio desse software, eles instalam malware infostealer para roubar credenciais de login e carteiras de criptomoedas. Por fim, os invasores lançam ransomware. De acordo com a Prodaft, os invasores comprometeram 618 organizações desde junho do ano passado. A empresa de segurança afirma que os invasores estão continuamente adaptando suas técnicas para explorar vulnerabilidades humanas e técnicas.
