Onderzoekers hebben een nieuwe phishing-groep ontdekt die vanuit Rusland opereert. De campagne die de naam Cosmic Lynx krijgt, zou al ruim een jaar onder de radar bedrijven geld afhandig maken.
Cosmic Lynx, ontdekt door security-onderzoekers van Agari, wordt onder de business email compromises (BEC) geschaard, aangezien het middels een neppe mail probeert geld van bedrijven binnen te hengelen. In veel gevallen van BEC’s gaat het om een mail waarvan de afzender zich voordoet als werknemer (bijvoorbeeld van de IT-afdeling) of een klant, waarbij er middels nadruk op een korte deadline wordt geprobeerd een slachtoffer voor het blok te zetten.
In het geval van Cosmic Lynx zouden bedrijven van over de hele wereld het doelwit zijn geweest, met constateringen van de campagne in 46 landen verspreid over zes continenten. Opvallend is dat de campagne elke keer uitermate goed aansluit op het doelwit.
De doelwitten van Cosmic Lynx zijn vaak invloedrijke personen binnen de organisatie, met constateringen bij general managers en managing directors. In de neppe email doen de phishers zich voor als de CEO van de organisatie zelf, waarbij er nadruk wordt gelegd op de gevoelige aard van de inhoud. Daarmee zou worden voorkomen dat er anderen bij de phishingpoging worden betrokken.
Vervolgens wordt een advocaat (de mails betreffen nagenoeg altijd het onderwerp van de acquisitie van een Aziatisch bedrijf) in de CC van de mails opgenomen, die met een aantal echt-lijkende documenten komt. In werkelijkheid is de advocaat ook een onderdeel van de phishingcampagne.
Overstap van malware naar BEC
Volgens Agari is de groep achter Cosmic Lynx al eerder op de radar verschenen, maar betrof het toen campagnes gericht op het verspreiden van malware trojans. De Trickbot- en Emotet-campagnes zouden door dezelfde groep zijn opgezet, maar achterwege zijn gelaten toen men doorhad dat BEC’s beduidend meer kunnen opleveren. Mits er voldoende aandacht wordt besteed aan het zo echt mogelijk lijken.
Tip: Waarom cybercriminelen massaal forums en het dark web gebruiken
8 uur geleden
