Χάκερ αξιοποιούν τεχνητή νοημοσύνη για phishing επιθέσεις με το ScreenConnect, στοχεύοντας πάνω από 900 επιχειρήσεις - Οι ειδικοί προειδοποιούν για μελλοντική χρήση σε ransomware και κατασκοπευτικές επιχειρήσεις

Οι χάκερ αξιοποιούν τεχνητή νοημοσύνη για να δημιουργούν άκρως πειστικά phishing emails, μέσω των οποίων εγκαθιστούν το ConnectWise ScreenConnect, αποκτώντας απομακρυσμένη πρόσβαση και δυνατότητα ελέγχου σε εταιρικά συστήματα.

Ερευνητές της Abnormal AI εντόπισαν δεκάδες εκστρατείες που στοχεύουν περισσότερες από 900 επιχειρήσεις παγκοσμίως. Η μέθοδος δείχνει πώς η κυβερνοεγκληματικότητα εξελίσσεται, συνδυάζοντας AI, κοινωνική μηχανική και το αναπτυσσόμενο οικοσύστημα Crime-as-a-Service (CaaS).

Πώς εξελίσσεται η επίθεση

Οι δράστες ξεκινούν με διαρροή ή αγορά πραγματικού εταιρικού email. Χρησιμοποιούν το βιβλίο διευθύνσεων, τις λίστες διανομής και τις ενεργές συνομιλίες για να στέλνουν πειστικά μηνύματα σε συναδέλφους, συνεργάτες και προμηθευτές. Η εκμετάλλευση της εμπιστοσύνης υφιστάμενων σχέσεων αποτελεί το «κλειδί» για να παγιδευθεί το θύμα.

Συχνά, τα emails εμφανίζονται ως προσκλήσεις Zoom ή Teams. Ο παραλήπτης καλείται να «κατεβάσει την τελευταία έκδοση» της εφαρμογής, που στην πραγματικότητα είναι το ScreenConnect. Καθώς πρόκειται για νόμιμο εργαλείο απομακρυσμένης διαχείρισης, συνήθως περνά απαρατήρητο από τα φίλτρα ασφαλείας.

Τεχνικές απόκρυψης

Για να αποφύγουν την ανίχνευση, οι χάκερ χρησιμοποιούν υπηρεσίες όπως το SendGrid, εκμεταλλεύονται open redirects και κωδικοποιήσεις (Base64), ενώ φιλοξενούν κακόβουλη υποδομή σε πλατφόρμες όπως το Cloudflare Workers. Έτσι εξασφαλίζουν ταχύτητα, ανωνυμία και αξιοπιστία.

Μετά τη μόλυνση, οι δράστες εφαρμόζουν lateral phishing, επεκτείνοντας το ScreenConnect εντός της εταιρείας αλλά και σε συνεργαζόμενα δίκτυα, δίνοντας στη διαδικασία χαρακτηριστικά supply chain compromise.

Κίνδυνοι για το μέλλον

Οι περισσότερες επιθέσεις στοχεύουν στη μεταπώληση προσβάσεων στην αγορά των access brokers. Ωστόσο, οι ίδιες τεχνικές μπορούν να χρησιμοποιηθούν από ομάδες ransomware ή κατασκοπείας, οδηγώντας σε στοχευμένες και εξαιρετικά επικίνδυνες επιχειρήσεις.

Όπως προειδοποιεί ο Piotr Wojtyla, επικεφαλής threat intelligence στην Abnormal AI, η διαθεσιμότητα έτοιμων κιτ και πρόσβασης προς πώληση «δημιουργεί πρόσφορο έδαφος για πιο εξειδικευμένες επιθέσεις». Σήμερα βλέπουμε μαζικές καμπάνιες, αλλά «τίποτα δεν εμποδίζει έναν πιο επικίνδυνο παίκτη να αξιοποιήσει τα ίδια εργαλεία με χειρουργική ακρίβεια».

Πηγή: newmoney.gr

Διαβάστε επίσης: Γονικός έλεγχος στο ChatGPT μετά την αυτοκτονία εφήβου στις ΗΠΑ