Phishing-bedragare utnyttjar ransomeware-attacken mot Kaseya

Kategori: Bloggen Senast uppdaterad tisdag, 13 juli 2021 Publicerad måndag, 12 juli 2021 Skriven av Fredrik

Förra veckan gjorde cyberkriminella en jätteattack mot mjukvaruföretaget Kaseya som gjorde att svenska Coop hamnade på löpsedlarna över hela världen. 

Nu cirkulerar ett phishingmail där de påstår vara från Kaseya med en säkerhetsfix redo att ladda ner.

Mejlet innehåller en kortfattad text där de meddelar att Microsoft har släppt en säkerhetsuppdatering som täpper för säkerhetshålet i Kaseyas programvara. 

I mejlet finns också en länk som ser ut att leda till Kaseyas hemsida där en "SecurityUpdates.exe" fil finns att hämta hem. Men i själva verket så leder den till en annan sida där "SecurityUpdates.exe" laddas ner och installeras direkt på datorn. Användaren kommer inte märka något men de som sitter på andra sidan kommer däremot att märka desto mer. När "SecurityUpdates.exe" körs så installeras nämligen en agent (CobaltStrike) på datorn som fungerar som en VPN-tunnel mellan den angripne datorn och dessa cyberkriminella. De har nu full insyn vad användaren gör utan att den märker av det. 

Troligtvis så är det inte så troligt att privatpersoner få dessa mejl då Kaseyas har en helt annan kundgrupp. Men det finns förstås andra varianter på dessa utskick som fungerar på ett liknande sätt som kan vara till vilken användare som helst. CobaltStrike kan attackera både Windows och MacOS-användare. 

Kaseya phisingmailFoto: TrustWave

Registrera för nyhetsbrev

Aktivera javascript för att skicka detta formulär