Los expertos han descubierto una campaña de phishing que ha estado ocurriendo durante más de un año. ¿Su objetivo? La industria automotriz alemana. Lo que intentan hacer los actores de amenazas es infiltrar malware que roba contraseñas en los sistemas de las víctimas. Según los investigadores de Checkpoint, que publicaron un informe sobre este tema, […]
Los expertos han descubierto una campaña de phishing que ha estado ocurriendo durante más de un año. ¿Su objetivo? La industria automotriz alemana. Lo que intentan hacer los actores de amenazas es infiltrar malware que roba contraseñas en los sistemas de las víctimas.
Según los investigadores de Checkpoint, que publicaron un informe sobre este tema, la campaña de phishing en discusión se activó alrededor de julio de 2021 y su actividad continúa en la actualidad.
Sus objetivos son los fabricantes y concesionarios de automóviles en Alemania, los actores de amenazas detrás de él logran duplicar sitios genuinos que pertenecen a varias compañías con el fin de registrar dominios similares. Esta técnica se conoce como ocupación de dominio.
Dichos sitios web falsos se emplean para distribuir correos electrónicos de phishing en alemán y para servir como host de cargas maliciosas.
La campaña también aprovechó varios ladrones de información de MaaS según los investigadores, que involucran a BitRAT, Raccoon Stealer y AZORult. De acuerdo a información que circula, los tres programas maliciosos se ponen a la venta en los mercados de ciberdelincuencia.
La mayoría de los objetivos están relacionados con el sector de la industria automotriz alemana y los ataques fueron diseñados para implementar varios tipos de malware para robar información. Los actores de amenazas detrás de la operación registraron múltiples dominios similares, todos imitando negocios automotrices alemanes existentes que luego usaron para enviar correos electrónicos de phishing y alojar la infraestructura de malware.
El proceso de infección comienza con un correo electrónico que parece provenir de un concesionario de automóviles. El asunto del correo electrónico es “re: pedido” y su contenido está escrito en alemán. También incluye un archivo adjunto ISO denominado “factura del vehículo”. Básicamente, el correo electrónico parece ser un recibo de transferencia de automóvil.
Si el usuario que lo recibe hace doble clic en el archivo adjunto ISO, aparecerá un mensaje de advertencia, seguido de una solicitud al destinatario para abrir un archivo .HTA (aplicaciones HTML).
Este archivo .HTA incluye la ejecución de código JavaScript o VBScript mediante el contrabando de HTML.
Lo que el usuario objetivo realmente ve es un documento señuelo, pero el problema radica en lo que sucede mientras tanto en segundo plano: el código malicioso recopila cargas útiles de malware que luego se ejecutarán.
Los expertos explican que la razón por la cual los actores de amenazas emplean archivos de imagen de disco ISO es que esta es una técnica popular que puede ayudarlos a evadir el control de confianza NTFS Mark-of-the-Web (MOTW).
A continuación hay una representación de la cadena de infección que los expertos describieron en su informe:
Según los mismos investigadores, el objetivo de esta campaña de malware parece ser el espionaje industrial o ciberataques BEC (Business Email Compromise). Se descubrieron 14 entidades objetivo, todas ellas empresas alemanas relacionadas con la industria automotriz, pero no se revela ningún nombre en particular.
Descubrimos un ataque dirigido a empresas alemanas, principalmente concesionarios de automóviles. Los actores de amenazas están utilizando una vasta infraestructura diseñada para imitar a las empresas alemanas existentes.
Los atacantes utilizaron correos electrónicos de phishing, con una combinación de cargas útiles ISO\HTA que, si se abrían, infectarían a las víctimas con varios programas maliciosos para robar información.
Los objetivos se seleccionan cuidadosamente y la forma en que se envían los correos electrónicos de phishing permitiría la correspondencia entre las víctimas y los atacantes.
Una posibilidad es que los atacantes estuvieran tratando de comprometer a los concesionarios de automóviles y usar su infraestructura y datos para obtener acceso a objetivos secundarios como proveedores y fabricantes más grandes. Eso sería útil para fraudes BEC (Business, Email Compromise) o espionaje industrial.
Una investigación arrojó una serie de aplicaciones en Google Play diseñadas para realizar actividades maliciosas, como robar las credenciales de los usuarios e información confidencial, incluidas las claves privadas.