Фишинговая атака использует украденные учетные данные для установки LogMeIn RMM для постоянного доступа

Держитесь, техно-семья — исследователи только что раскрыли новую отвратительную фишинговую схему, которая хитрее вашей обычной аферы. Это двухэтапная атака, которая крадет ваши логины электронной почты, а затем использует их для установки LogMeIn Resolve RMM для постоянного скрытого доступа к системам Windows. Да, они не просто хотят ваши данные — они хотят жить бесплатно в ваших конечных точках.

Вот пошаговый разбор: Первый этап — классический фишинг — вы получаете поддельное письмо, нажимаете на ссылку, и бац, ваши учетные данные украдены. Но второй этап — вот где начинается дикость. Злоумышленники используют эти украденные логины для удаленной установки программного обеспечения LogMeIn Resolve RMM (Удаленный мониторинг и управление). Это не какое-то сомнительное вредоносное ПО; это законное программное обеспечение, используемое ИТ-командами, что означает, что оно может оставаться незамеченным для многих инструментов безопасности.

После установки LogMeIn RMM дает злоумышленникам постоянный скрытый доступ к скомпрометированной машине Windows. Они могут отслеживать активность, выполнять команды и сохранять контроль, не вызывая тревоги. Это все равно что дать взломщику ключи от вашего дома и форму охранника — они идеально сливаются с окружением.

Эта атака подчеркивает растущую тенденцию: киберпреступники используют законные инструменты, чтобы избежать обнаружения. LogMeIn Resolve RMM — всего лишь один пример; другие инструменты RMM и удаленного доступа могут использоваться аналогично. Это усложняет защиту, поскольку блокировка всего законного программного обеспечения не является вариантом.

Ключевые выводы для техно-профессионалов: 1) Фишинг больше не только о краже данных — это путь к постоянному доступу. 2) Отслеживайте неожиданные установки RMM или программ удаленного доступа, даже если они «законны». 3) Многофакторная аутентификация (MFA) обязательна — она могла бы остановить эту атаку на первом этапе.

Будьте начеку, ребята. Эта атака показывает, что старый добрый фишинг превращается во что-то гораздо более опасное. Держите конечные точки заблокированными, а пользователей обученными — потому что следующий клик может стоить больше, чем просто пароль.