Especialistas em segurança cibernética da Check Point Software informaram em relatório que há uma campanha de phishing direcionada contra montadoras e concessionárias na Alemanha. A campanha começou por volta de julho do ano passado e ainda está ativa. Segundo os pesquisadores, a campanha começou com um e-mail aparentemente benigno, lidando com a compra de um veículo, e terminou com a revelação de uma campanha de meses de duração direcionada às organizações alemãs. Os ataques foram projetados para implantar vários tipos de malware de roubo de informações.
Os agentes de ameaças por trás da operação registraram vários domínios semelhantes, todos imitando empresas automobilísticas alemãs existentes que mais tarde usaram para enviar e-mails de phishing e hospedar a infraestrutura de malware.
Veja isso
Setor automotivo atrasado em regulação de cyber
Grupo canadense será provedor de serviços de cibersegurança da Fórmula 1
A cadeia de infecção começa com o envio de um e-mail de phishing para a vítima com um arquivo de imagem de disco (um arquivo ISO) que ignora muitos mecanismos internos de segurança. As cartas enviadas a revendedores de automóveis podem conter, por exemplo, recibos falsos de entrega de automóveis.
Enquanto a vítima está visualizando um documento falso, o código está sendo executado em segundo plano para extrair e executar o malware. Especialistas encontraram várias versões desses scripts. Alguns deles executam o código do PowerShell, outros são ofuscados e outros ainda são apresentados em forma de texto. Todos eles baixam e executam vários infostealers distribuídos na comunidade de hackers sob o modelo de negócios Malware as a Service (MaaS).
Em particular, são usados infostealers MaaS como Raccoon Stealer, AZORult e BitRAT, que podem ser comprados na dark web e em fóruns de hackers.
Os pesquisadores identificaram 14 empresas alemãs que foram vítimas da campanha, mas não forneceram seus nomes.
Especialistas dizem que cibercriminosos do Irã podem estar por trás dos ataques, mas eles não têm evidências suficientes para ter 100% de certeza.
O alvo da campanha é supostamente espionagem industrial ou fraude de e-mail corporativo (BEC).