Злоумышленники воспользовались уязвимостью в стороннем прдукте, используемом продажниками, внедрив вредоносный код, который перенаправлял пользователей на поддельные страницы. На этих страницах посетители подвергались атаке с целью установки удалённого трояна SectopRAT.
Первоначальный взлом не затронул сами сайты автосалонов, а произошёл через сторонний сервис потокового видео, пишет Securitylab. Пользователи, заходившие на сайты автодилеров, автоматически загружали вредоносный JavaScript, который затем перенаправлял их на фишинговые страницы.
Исследователь безопасности Рэнди МакЭоин установил, что исходным источником атаки стал скомпрометированный скрипт, размещённый на сервере компании «idostream[.]com из Манчестера, Коннектикут. Вредоносный код находился в файле «les_video_srp.js», содержавшем зашифрованные команды для загрузки дополнительных элементов атаки.
После активации вредоносный скрипт отображал поддельную страницу CAPTCHA, предлагая пользователю подтвердить, что он не робот. После клика по чекбоксу посетителей обманом заставляли выполнить действия, запускающие установку вредоносного ПО.
После выполнения PowerShell-кода на компьютер жертвы скачивался ZIP-архив (Lancaster.zip), содержащий троян SectopRAT. Это вредоносный инструмент, позволяющий злоумышленникам получать удалённый доступ к заражённым устройствам и похищать с них конфиденциальные данные.
Анализ показал, что угрозе был присвоен максимальный уровень опасности — 10 из 10. Владелец стороннего сервиса LES Automotive сообщил, что уязвимость была устранена, однако остаётся неизвестным, сколько пользователей подверглось атаке и насколько серьёзны последствия компрометации.