12/05/22
Специалисты ИБ-компании Check Point рассказали о фишинговой кампании, направленной против немецких автопроизводителей и автодилеров. Кампания началась примерно в июле прошлого года и активна до сих пор.
Злоумышленники зарегистрировали множество поддельных доменов, похожих на настоящие сайты легитимных организаций, и используют их для рассылки фишинговых писем, содержащих вредоносное ПО для похищения данных.
Цепочка заражения начинается с отправки жертве фишингового письма с ISO-файлом образа диска, обходящим многие внутренние механизмы безопасности. Письма, отправляемые автодилерам, могут содержать, например, поддельные квитанции о передаче автомобиля.
Пока жертва просматривает поддельный документ, открытый файлом HTA, в фоновом режиме выполняется код, извлекающий и запускающий вредоносное ПО.
Специалисты обнаружили несколько версий таких скриптов. Одни из них запускают PowerShell-код, другие являются обфусцированными, а третьи представлены в текстовом виде. Все они загружают и выполняют различные инфостилеры, распространяющиеся в хакерском сообществе по бизнес-модели «вредоносное ПО как услуга» (Malware as a Service, MaaS).
В частности, используются такие MaaS-инфостилеры, как Raccoon Stealer, AZORult и BitRAT, которые можно купить в даркнете и на хакерских форумах.
Исследователи выявили 14 немецких предприятий, ставших жертвами данной кампании, но названия их не сообщили.
По словам экспертов, за атаками могут стоять киберпреступники из Ирана, но у них нет достаточно доказательств для того, чтобы утверждать это со стопроцентной уверенностью.
Целью кампании предположительно являются промышленный шпионаж или мошенничество с корпоративной электронной почтой (BEC).
