Black Basta nadużywa Microsoft Quick Assist w swoich atakach Vishing

Jak donosi Microsoft grupa cyberprzestępcza Black Basta używająca usług ransomware RaaS, nadużywała narzędzia Microsoft Quick Assist w swoich atakach Vishing. W ubiegłym tygodniu rząd Stanów Zjednoczonych wydał ostrzeżenie o licznych atakach grupy Black Basta nakierowanej na infrastrukturę krytyczną w Ameryce Północnej, Europie i Australii, przy wykorzystaniu inżynierii społecznej i znanych luk i podatnościach w zabezpieczeniach. Microsoft od połowy kwietnia 2024 obserwuje liczne ataki vishingowe, w których cyberprzestępcy podszywają się pod pracowników działu IT, pomocy technicznej i nakłaniają osoby atakowane do zainstalowania legalnych narzędzi zdalnego zarządzania, które w kolejnym etapie są wykorzystywane do wdrażania złośliwego oprogramowania. Jak wskazuje Microsoft używane były narzędzia ScreenConnect i NetSupport Manager, a następnie wdrażane oprogramowanie ransomware Qakbot, Cobalt Strike i Black Basta. Grupa cyberprzestępcza posiada rejestr adresów e-mail atakowanych osób, podczas rozmowy telefonicznej przekonywali osobę atakowaną do uruchomienia aplikacji Microsoft Quick Assist, wykorzystywaną przez dział wsparcia Microsoft do zdalnej pomocy technicznej. Po uzyskaniu połączenia przez Quick Assist, atakujący uzyskiwał pełną kontrolę nad urządzeniem po zatwierdzeniu przez użytkownika i wdrażane było złośliwe oprogramowanie i dalsze ataki w danym środowisku.