Money Review
Οι χάκερ αξιοποιούν πλέον εργαλεία τεχνητής νοημοσύνης για να κατασκευάζουν ρεαλιστικά emails ηλεκτρονικού ψαρέματος, μέσω των οποίων εγκαθιστούν το ConnectWise ScreenConnect, αποκτώντας απομακρυσμένη πρόσβαση και δυνατότητα ελέγχου σε εταιρικά δίκτυα.
Ερευνητές της Abnormal AI καταγράφουν δεκάδες καμπάνιες που βρίσκουν στόχο σε περισσότερες από 900 επιχειρήσεις παγκοσμίως. Η μεθοδολογία δείχνει πώς η κυβερνοεγκληματικότητα εξελίσσεται: συνδυάζει τεχνητή νοημοσύνη, τεχνικές κοινωνικής μηχανικής και το ολοένα πιο επαγγελματικό οικοσύστημα Crime-as-a-Service (CaaS).
Πώς λειτουργεί η επίθεση
Η αρχή γίνεται με τη διαρροή ή αγορά ενός πραγματικού εταιρικού email. Οι δράστες εκμεταλλεύονται το βιβλίο διευθύνσεων, τις λίστες διανομής και τις ενεργές συνομιλίες, ώστε να στέλνουν πειστικά phishing emails σε συναδέλφους, συνεργάτες και προμηθευτές. Η εμπιστοσύνη σε υφιστάμενες σχέσεις είναι το «κλειδί» για να παραπλανηθεί ο στόχος.
Συχνά τα emails εμφανίζονται ως προσκλήσεις για Zoom ή Microsoft Teams. Ο ανυποψίαστος παραλήπτης ενθαρρύνεται να «κατεβάσει την τελευταία έκδοση» της εφαρμογής, που στην πραγματικότητα είναι το ScreenConnect. Ως νόμιμο εργαλείο απομακρυσμένης διαχείρισης, περνά συνήθως απαρατήρητο από τα φίλτρα ασφαλείας.
Τεχνικές απόκρυψης
Για να αποφύγουν ανίχνευση, οι χάκερ χρησιμοποιούν υπηρεσίες όπως SendGrid για να «τυλίξουν» κακόβουλα links σε έμπιστους τομείς, εκμεταλλεύονται open redirects και κωδικοποιήσεις (Base64), ενώ φιλοξενούν την υποδομή τους σε αξιόπιστες πλατφόρμες όπως το Cloudflare Workers. Έτσι κερδίζουν ταχύτητα, ανωνυμία και αξιοπιστία.
Αφού μολυνθεί ένας οργανισμός, η εκστρατεία δεν σταματά. Οι δράστες προχωρούν σε lateral phishing, επεκτείνοντας το ScreenConnect εντός της εταιρείας αλλά και σε δίκτυα συνεργατών. Με τον τρόπο αυτό, η επίθεση παίρνει χαρακτηριστικά supply chain compromise, δηλαδή μόλυνσης μέσω της αλυσίδας συνεργασιών.
Ο κίνδυνος για το μέλλον
Η βασική στόχευση είναι η μεταπώληση των ScreenConnect «κερδισμένων» προσβάσεων στην αγορά των access brokers. Ωστόσο, οι ειδικοί προειδοποιούν ότι οι ίδιες τεχνικές μπορούν εύκολα να αξιοποιηθούν και από ομάδες ransomware ή ακόμα και κατασκοπείας, οδηγώντας σε πιο στοχευμένες και επικίνδυνες επιχειρήσεις.
Όπως τονίζει ο Piotr Wojtyla, επικεφαλής threat intelligence στην Abnormal AI, «η διαθεσιμότητα έτοιμων κιτ και πρόσβασης προς πώληση δημιουργεί το έδαφος για πιο εξειδικευμένες επιθέσεις. Σήμερα βλέπουμε μαζικές και ευκαιριακές καμπάνιες, αλλά τίποτα δεν εμποδίζει έναν πιο επικίνδυνο παίκτη να αξιοποιήσει τα ίδια εργαλεία με χειρουργική ακρίβεια».
