Il team di Microsoft Threat Intelligence ha rilevato un gruppo di cybercriminali, denominato Storm-1811, che sfrutta lo strumento di gestione client Quick Assist per attaccare gli utenti tramite tecniche di ingegneria sociale.
Dettagli dell’attacco
Storm-1811 è un gruppo di cybercriminali finanziariamente motivato, noto per distribuire il ransomware Black Basta. L’attacco inizia con il phishing vocale per convincere le vittime a installare strumenti di monitoraggio remoto, seguito dalla consegna di malware come QakBot e Cobalt Strike, culminando infine con l’installazione del ransomware Black Basta.
Come funziona l’attacco
I criminali sfruttano Quick Assist, un’applicazione legittima di Microsoft che consente agli utenti di condividere il proprio dispositivo con un’altra persona tramite una connessione remota per risolvere problemi tecnici. Gli attori delle minacce si spacciano per contatti fidati, come il supporto tecnico di Microsoft o un professionista IT dell’azienda dell’utente, per ottenere l’accesso iniziale al dispositivo.
Per rendere gli attacchi più convincenti, i cybercriminali lanciano attacchi di email bombing, iscrizioni a vari servizi legittimi per inondare le caselle di posta delle vittime con contenuti iscritti. Quindi, si fingono il team di supporto IT dell’azienda tramite chiamate telefoniche, offrendo assistenza per risolvere il problema di spam e ottenendo accesso al dispositivo tramite Quick Assist.
Azioni dei cybercriminali
Una volta ottenuto l’accesso e il controllo, l’attore delle minacce esegue un comando cURL scriptato per scaricare file batch o ZIP usati per consegnare payload malevoli. Storm-1811 utilizza quindi PsExec per distribuire il ransomware Black Basta in tutta la rete.
Misure di sicurezza
Microsoft sta esaminando da vicino l’uso improprio di Quick Assist e sta lavorando per incorporare messaggi di avviso nel software per notificare agli utenti possibili truffe di supporto tecnico che potrebbero facilitare la consegna di ransomware. La campagna, iniziata a metà aprile 2024, ha preso di mira vari settori, tra cui manifatturiero, edilizio, alimentare e delle bevande, e trasporti.
Raccomandazioni
Le organizzazioni sono consigliate di bloccare o disinstallare Quick Assist e strumenti simili se non in uso, e di addestrare i dipendenti a riconoscere le truffe di supporto tecnico.
