Det är NSA och Cisa, cybersecurity and infrastructure agency, som går ut med en varning om att cyberbrottslingar i sitt nätfiske utnyttjar så kallad remote monitoring software, kallat RMM, alltså mjukvara för övervakning och administration på distans.
Varningen kommer efter en omfattande e-postkampanj som myndigheterna upptäckte i oktober förra året, och som lurar offren att ladda ner legitim RMM-mjukvara som i sin tur låter angripare få kontroll över bankkonton.
I och med att det är en riktig applikation så aktiveras inte antiviruslarmen.
Enligt NSA och Cisa är kampanjen inriktad på just offrens ekonomi, men angripare kan också använda fjärråtkomsten för andra skadliga syften, som att stjäla användarnamn och lösenord, eller installera bakdörrar i system så att de till exempel skulle kunna genomföra ransomware-attacker.
Attackerna ska ha pågått åtminstone sedan sommaren 2022. En vanlig metod som angriparna använder är att de skickar ett e-postmeddelande till sina offer, där de skriver att ett årligt abonnemang är på väg att förnyas automatiskt. Det är utformat så att de som drabbas ska ta kontakt med en ”helpdesk” som anges i mejlet. Helpdesken i fråga styrs dock av bedragarna som lurar offret att ladda ner programvaran.
Den automatiska förnyelsen är en bluff. Det angriparna är ute efter är att få offret att logg in på sitt bankkonto medan RMM-programvaran är aktivt - då kan de få tillgång till bankkontot.
Hotaktörerna riktar ofta de här attackerna mot företagsanvändare som redan använder RMM-mjukvara, enligt varningen.
