Nowa kampania phishingowa imitująca komunikację agencji SSA instaluje zainfekowaną trojanem aplikację ScreenConnect

Spis treści

Przegląd

Taktyki inżynierii społecznej

Wektory ataków i techniki

Wpływ

Łagodzenie skutków i wykrywanie

Wskaźniki naruszenia bezpieczeństwa

Powiązane produkty

Cloudflare Email Security

Przegląd

Phishguard odnotował wzrost liczby kampanii phishingowych podszywających się pod komunikację agencji SSA i próbujących wykradać dane uwierzytelniające użytkownika lub instalujących zainfekowane trojanem narzędzia do zdalnego monitorowania i zarządzania (RMM), takie jak ScreenConnect, które po instalacji zapewniają rozległą kontrolę nad komputerem ofiary. Zauważono również przypadki, w których po uzyskaniu początkowego dostępu atakujący instruowali użytkownika, aby zainstalował i zsynchronizował aplikację Phone Link firmy Microsoft, co potencjalnie mogło pozwolić eksfiltrować dane, czytać wiadomości tekstowe i przechwytywać kody uwierzytelniania dwuskładnikowego wysyłane na połączone urządzenie mobilne.

Uważamy, że atakujący wykorzystują niedawne głośne zakłócenia w działaniu SSA jako sposób na wywołanie strachu, niepewności i wątpliwości u potencjalnych ofiar co do statusu ich kont w agencji. Odpowiada to również zaobserwowanemu przez Phishguard wzorcowi działania, w którym ataki wykorzystują inne bieżące wydarzenia polityczne, w tym gwałtowny wzrost oszustw związanych z kryptowalutami po wprowadzeniu kryptowaluty $TRUMP w połowie stycznia 2025 r.

Przykładowy łańcuch ataku phishingowego związanego z podszywaniem się pod SSA

Taktyki inżynierii społecznej

Aby ominąć filtry bezpieczeństwa, w oszustwach związanych z podszywaniem się pod SSA wykorzystywane są przejęte serwery i witryny pozwalające na wysyłanie wiadomości e-mail, które rzekomo pochodzą od zaufanych marek. W prostych przypadkach oszuści korzystają z bezpłatnych kont e-mail (takich jak Gmail czy Outlook) i po prostu ustawiają nazwę wyświetlaną nadawcy na „Social Security Administration”, licząc na to, że odbiorca nie zweryfikuje pełnego adresu e-mail. Atakujący omijają również filtry bezpieczeństwa za pomocą zaawansowanych technik, takich jak osadzanie treści phishingowych w obrazach oraz używanie jednorazowych linków do pobierania.

Wiele wiadomości phishingowych próbuje przestraszyć odbiorców, informując, że coś jest nie tak z ich statusem w systemie ubezpieczeń społecznych, i wymagając natychmiastowej reakcji. Aby wiadomości wyglądały jak najbardziej autentycznie, często zawierają oficjalne logo, formatowanie i zastrzeżenia agencji SSA.

W ramach jednej z ostatnich kampanii phishingowych do odbiorców były wysyłane wiadomości e-mail z alarmującymi tematami, takimi jak „Twój numer SSN zostanie zawieszony (identyfikator sprawy - SSA-526487442)” lub „Na Twoim koncie SSN wykryto podejrzaną aktywność”. Niektóre wiadomości e-mail zawierały informacje o tym, że na koncie SSA odbiorcy wprowadzono „ważne zmiany” i zachęcały do kliknięcia linku w celu „zalogowania się”:

Przykład phishingowej wiadomości e-mail imitującej komunikację agencji SSA i podkreślającej wystąpienie „ważnych zmian”

Inna wiadomość e-mail ostrzega odbiorcę o „potencjalnym błędzie” w najnowszym raporcie i zachęca do „uzyskania dostępu do zaktualizowanego Oświadczenia” poprzez kliknięcie „przycisku”, który wydaje się prowadzić na stronę „www.socialsecurity.gov/reviewyourstatement”, a który w rzeczywistości przekierowuje użytkownika pod adres „hxxps://ssa-storeattsment[.]com” — na fałszywą stronę zaprojektowaną do kradzieży danych uwierzytelniających:

W przypadkach niedawnych oszustw odwołujących się do komunikacji z SSA atakujący stwierdzali, że dokument SSA odbiorcy jest „zoptymalizowany do przeglądania na komputerach PC/laptopach z systemem Windows”, zachęcając użytkownika do jego otwarcia na urządzeniu z systemem Windows — jedynym systemem operacyjnym, w którym zainfekowany trojanem plik ScreenConnect.exe będzie działać:

Phishingowa wiadomość e-mail z informacją, że „Dokument jest zoptymalizowany do przeglądania na komputerach PC/laptopach z systemem Windows”

Wektory ataków i techniki

PhishGuard zaobserwował ostatnio wzrost liczby blokowanych wiadomości phishingowych zawierających linki, które wykorzystują rzeczywiste witryny WordPress jako przekierowania. Chociaż wiadomość e-mail może nie pochodzić z naruszonego serwera WordPress, atakujący osadza w niej linki prowadzące do witryn WordPress, które kontroluje lub przejął, a które z kolei przekierowują ofiary do złośliwych domen, takich jak tanie, jednorazowe strony „.xyz” zawierające narzędzia do pozyskiwania danych uwierzytelniających lub złośliwy payload.

Te strony phishingowe zawierają czasami notatkę, że „dokument” można otworzyć tylko na urządzeniu z systemem Windows — jest to taktyka mająca na celu skłonienie ofiar do otwarcia pliku .exe na platformie, na której zostanie pomyślnie wykonany. Na przykład:

Wiadomość e-mail może również pochodzić z legalnej infrastruktury (np. domeny małej firmy), której bezpieczeństwo zostało naruszone, co sprawia, że adres nadawcy wydaje się mniej podejrzany. Te legalne domeny mogą nie zostać zablokowane przez filtry spamu, co pozwala na przedostanie się wiadomości phishingowej. W niektórych przypadkach atakujący rejestrują również podobne domeny lub tworzą poddomeny zawierające terminy takie jak „ssa” lub „social-security”, aby jeszcze bardziej ukryć oszustwo. Korzystanie z legalnych, ale nieautoryzowanych serwerów pozwala wiadomościom e-mail ominąć podstawowe mechanizmy uwierzytelniania. Wiadomości przechodzą weryfikację SPF i DKIM, ponieważ domena wysyłająca istnieje — po prostu nie jest własnością agencji SSA ani nie jest przez nią obsługiwana.

Charakterystycznym aspektem obserwowanej kampanii phishingowej imitującej komunikację SSA jest wykorzystanie zainfekowanej trojanem wersji aplikacji ScreenConnect — legalnego narzędzia do obsługi zdalnej pomocy IT, powszechnie stosowanego przez firmy. Wariant zidentyfikowany przez Phishguard jest dostarczany za pomocą złośliwego linku w wiadomości phishingowej. Po kliknięciu linku następuje pobranie klienta ScreenConnect hostowanego w witrynie Bitbucket pod adresem hxxps://bitbucket[.]org/iojuhygfrtdtyguygudu/qsxd/downloads/SocialSecurityAdminUpd05212025.exe. Zainfekowany trojanem klient komunikuje się z witryną pulseriseglobal[.]com, prawdopodobnie w celu wykonania złośliwych działań następczych (np. C2 lub pobierania dodatkowych payloadów, takich jak programy wykradające informacje lub oprogramowanie typu ransomware).

Po zainstalowaniu zainfekowanego trojanem klienta w systemie ofiary atakujący ma zasadniczo taki sam poziom kontroli jak administrator IT, co pozwala mu na:

• Uzyskanie pełnej kontroli zdalnej: przeglądanie i wchodzenie w interakcję z całym ekranem ofiary oraz kontrolowanie myszy i klawiatury, jakby atakujący był fizycznie obecny przy urządzeniu.

• Wykonywanie poleceń i skryptów: uruchamianie poleceń w tle za pomocą narzędzi takich jak Wiersz polecenia i PowerShell w celu przekonfigurowania systemu, wyłączenia oprogramowania zabezpieczającego lub przeprowadzenia rozpoznania w sieci.

• Zarządzanie plikami: swobodne przesyłanie plików z i do komputera ofiary. Pozwala to atakującemu na eksfiltrację poufnych danych lub przesyłanie dodatkowych złośliwych narzędzi, takich jak oprogramowanie typu ransomware lub spyware.

• Uzyskiwanie dostępu do komponentów systemowych: wchodzenie w interakcję z newralgicznymi narzędziami systemowymi, w tym z Menedżerem zadań (w celu zamykania procesów), Edytorem Rejestru (w celu wprowadzania trwałych zmian) i Eksploratorem plików (w celu poruszania się po całym systemie).

Wiadomość e-mail oznaczona przy dostarczeniu i wycofana, co uniemożliwiło trojanowi dotarcie do punktów końcowych

W niektórych przypadkach złośliwe linki w wiadomościach phishingowych kierują użytkowników do witryny, która instruuje ich, aby uruchomili złośliwy plik wykonywalny ScreenConnect, a następnie zalogowali się do aplikacji Phone Link firmy Microsoft z użyciem danych uwierzytelniających konta Microsoft.

Jak pokazano na poniższych obrazach, atak rozpoczyna się, gdy użytkownik zostaje nakłoniony do odwiedzenia strony phishingowej hxxps://redplay[.]store/statement/ssa. W tej wersji ataku użytkownik jest instruowany, aby wykonać kroki podane na phishingowej stronie docelowej w celu pobrania czegoś, co uważa za swoje oświadczenie o ubezpieczeniu społecznym, a co w rzeczywistości jest złośliwym plikiem wykonywalnym „ssa.statement.exe” zamaskowanym jako pakiet macOS („ssa.statement.pkg”). Po pobraniu ofiara musi kliknąć dwukrotnie plik wykonywalny, aby uruchomić zainfekowaną trojanem wersję aplikacji ScreenConnect, która zapewnia atakującemu kontrolę nad systemem ofiary. Pierwsze dwa kroki na phishingowej stronie docelowej instruują użytkownika, aby pobrał i uruchomił złośliwego klienta ScreenConnect, ponieważ atakujący potrzebuje dostępu na poziomie systemu, aby kontynuować działania.

Gdy system jest już przejęty, pozostałe kroki instruują ofiarę, aby uzyskała dostęp do legalnej aplikacji Microsoft Phone Link i przyznała jej uprawnienia. Phone Link, opracowana przez firmę Microsoft aplikacja do synchronizacji umożliwiająca łączenie komputerów z systemem Windows z urządzeniami mobilnymi z systemami Android i iOS, jest wykorzystywana przez atakujących w tym kontekście do ustanowienia kanału komunikacyjnego bez potrzeby fizycznego dostępu do urządzenia mobilnego lub jego kodu dostępu.

Ponieważ atakujący kontroluje już komputer za pomocą zainfekowanej trojanem wersji aplikacji ScreenConnect, może monitorować proces parowania urządzenia i manipulować nim. Zasadniczo atakujący „patrzą przez ramię” użytkownika, aby upewnić się, że połączenie między komputerem a smartfonem zostało zatwierdzone i nawiązane.

Po nawiązaniu połączenia Phone Link atakujący uzyskuje pośredni dostęp do urządzenia mobilnego ofiary poprzez zsynchronizowane połączenie na przejętym komputerze. To pozwala mu na:

• Odczytywanie wiadomości SMS i potencjalne przechwytywanie kodów uwierzytelniania dwuskładnikowego (2FA)

• Wyświetlanie powiadomień z różnych aplikacji

• Uzyskiwanie dostępu do zdjęć, kontaktów, historii połączeń i zawartości schowka

• Wykonywanie połączeń

• Klonowanie ekranu telefonu w celu bezpośredniego wchodzenia w interakcje z aplikacjami mobilnymi za pomocą przejętego komputera

Wpływ

Wpływ osobisty:

• Bezpośrednie straty finansowe: w 2024 r. poczta e‑mail była metodą kontaktową wskazaną w 25% zgłoszeń o oszustwach. Spośród nich 11% spowodowało straty finansowe, których łączna wartość wyniosła 502 mln USD, a mediana — 600 USD na incydent.

• Naruszenie kont osobistych prowadzące do kradzieży tożsamości: kampanie phishingowe są główną metodą, za pomocą której atakujący uzyskują dane osobowe, co przyczyniło się do 1,1 miliona zgłoszeń kradzieży tożsamości w 2024 r. Głównymi kategoriami były oszustwa związane z kartami kredytowymi i świadczeniami rządowymi.

• Znaczne obciążenie czasowe: ofiary kradzieży tożsamości, często inicjowanej przez phishing, stają przed koniecznością poświęcenia dużej ilości czasu. W przypadku spraw podatkowych średni czas rozwiązania problemu wynosił ponad 22 miesiące (676 dni) w roku podatkowym 2024.

Wpływ na organizację:

• Phishing jako wiodąca metoda naruszeń: badania Comcast pokazują, że 67% wszystkich naruszeń zaczyna się od kliknięcia pozornie bezpiecznego linku.

• Kradzież danych uwierzytelniających poprzez phishing: według Picus Security liczba incydentów kradzieży danych uwierzytelniających wzrosła w 2024 r. o 300% w porównaniu z poprzednimi latami.

• Rozpowszechnienie narzędzi zdalnego dostępu (RMM) używanych w atakach z użyciem oprogramowania typu ransomware: ThreatDown informuje o wzroście użycia legalnych narzędzi do zdalnego monitorowania i zarządzania (RMM) przez grupy wykorzystujące do ataków oprogramowanie typu ransomware.

Łagodzenie skutków i wykrywanie

Obrona przed phishingiem imitującym komunikację agencji SSA wymaga zarówno indywidualnych, jak i organizacyjnych środków zaradczych, takich jak:

• Cyberhigiena. Unikaj klikania linków, chyba że potwierdzisz, że nie są złośliwe. Aktualizuj całe oprogramowanie. Wyłącz makra pakietu Office.

• Przechwytywanie wiadomości phishingowych. Używaj zaawansowanych filtrów zabezpieczeń poczty e-mail, aby zatrzymać oszustwa, zanim dotrą do skrzynek odbiorczych. Cloudflare Email Security może wykrywać wiadomości e-mail podszywające się pod komunikację agencji SSA w czasie rzeczywistym, korzystając z odcisków EDF (Email Detection Fingerprints) oraz dostosowanych funkcji wykrywania, takich jak te przedstawione poniżej:

  • SocialSecurityAdministration.Link.Text.URL_Shorteners — wykrywa wiadomości oznaczone jako SSA, które ukrywają złośliwe adresy URL za narzędziami do skracania linków.

  • SocialSecurityAdministration.Recent_Domain — bierze pod uwagę wiek domeny: nowo zarejestrowane sobowtóry SSA są sygnałem ostrzegawczym.

• Analiza podejrzanych zachowań. Używaj narzędzi, takich jak Microsoft Defender XDR lub CrowdStrike Falcon, do wykrywania nieoczekiwanego użycia narzędzi RMM, w tym ScreenConnect.

• Regularne tworzenie kopi zapasowych krytycznych danych. Skuteczne ataki phishingowe mogą prowadzić do instalacji kolejnych payloadów, takich jak oprogramowanie typu ransomware lub wipery, dlatego kopie zapasowe są kluczowe. Regularnie wykonuj kopie zapasowe istotnych danych i przechowuj je offline.

Zespoły Cloudflare PhishGuard i Email Detection wdrożyły szereg funkcji wykrywania, aby zablokować złośliwe wiadomości e-mail imitujące komunikację agencji SSA. Funkcje te oceniają reputację domeny, a także mają zdolność identyfikowania podejrzanego wydźwięku i oznakowań rządowych w wiadomościach. Łączymy te funkcje o wysokim poziomie zaufania w naszym środowisku produkcyjnym z proaktywnymi technikami poszukiwania zagrożeń, aby identyfikować pojawiające się zagrożenia związane z pocztą e-mail. Ponadto funkcje wykrywania wykorzystują nasze modele uczenia maszynowego, które analizują treść, wydźwięk i metadane wiadomości e-mail w celu wykrywania i oznaczania złośliwych wiadomości.

Wskaźniki naruszenia bezpieczeństwa

Pliki wykonywalne

Odciski EDF (Email Detection Fingerprints)