A Check Point Research descobriu recentemente uma campanha de ataque cibernético em andamento e direcionada a empresas automotivas alemãs. Os ataques foram projetados para implantar vários tipos de malware de roubo de informações (InfoStealer).
Os atacantes por trás da operação registraram vários domínios semelhantes, todos imitando as empresas automotivas alemãs existentes. Os domínios foram usados posteriormente para enviar e-mails de phishing e hospedar a infraestrutura de malware. A CPR rastreou o principal site de hospedagem de malware até um site não-governamental hospedado no Irã.
Os pesquisadores da CPR também rastrearam 14 entidades alvo. Todos os alvos são alemães ou relacionados a negócios alemães, e a maioria deles ligados à indústria automobilística, desde concessionárias de automóveis até fabricantes. A infraestrutura é projetada especificamente para imitar a indústria automobilística alemã e os alvos identificados pela CPR atendem a essas características.
Metodologia do Ataque
Os atacantes configuraram servidores de e-mail usando domínios dedicados e os usaram para enviar e-mails referentes a várias ofertas de carros. A partir daí, anexaram documentos aos e-mails referentes a supostas transações, como contratos e recibos. Esses “documentos” de arquivo HTA (HTML Application) foram armazenados em arquivos ISO/IMG (cópias idêntica de imagem de arquivos gravados num CD, DVD ou BD). Uma vez exibidos, os cibercriminosos baixariam e executariam malware de roubo de informações na máquina dos alvos.
Atribuição
A identidade dos atacantes, neste caso, não está clara. A CPR encontrou certas conexões com entidades não-governamentais iranianas, mas não está evidente se eram sites legítimos que foram comprometidos ou se têm uma conexão mais substancial com essa operação.
E-mail malicioso
Um e-mail recebido de [mailto [:] kontakt@autohous-lips[.]de]kontakt[@]autohous-lips [.] de está se passando por uma empresa existente, com um nome de domínio real autohaus-lips [.]de . Para quem não fala alemão, redigir um e-mail, contrato ou recibo convincente que pareça autêntico para um local não é uma tarefa trivial. Muitos ataques são detectáveis nesta fase, falhando na barreira da “engenharia social”.
“Descobrimos esse ataque direcionado a empresas alemãs, principalmente concessionárias de automóveis, no qual os atacantes estão usando uma vasta infraestrutura projetada para imitar tais empresas existentes. Os cibercriminosos usaram e-mails de phishing, com uma combinação de cargas úteis ISO\HTA, que, se abertas, infectariam as vítimas com vários malwares que roubam informações”, informa Yoav Pinkas, pesquisador de segurança da Check Point Software.
Pinkas explica que os pesquisadores não têm evidências conclusivas da motivação dos cibercriminosos, mas acreditam que foi mais do que simplesmente coletar dados de cartão de crédito ou informações pessoais. “Os alvos são cuidadosamente selecionados e a forma como os e-mails de phishing foram enviados permitiria a correspondência entre as vítimas e os atacantes. Uma possibilidade é que esses atacantes estivessem tentando comprometer concessionárias de automóveis e usar sua infraestrutura e dados para obter acesso a alvos secundários, como fornecedores e fabricantes maiores. Isso seria útil para fraudes BEC (Business, Email Compromise) ou espionagem industrial.”
“A engenharia social atraiu nossa atenção, na forma como os atacantes selecionaram as empresas para se passarem por elas, e também a linha de assunto dos e-mails e os documentos anexados. Este tipo de ataque tem tudo a ver com o objetivo de convencer o destinatário da autenticidade da isca. Obter acesso a várias vítimas ao mesmo tempo dá uma vantagem significativa ao atacante. Por exemplo, se dois de seus subcontratados relatarem independentemente um assunto conhecido ou uma conversa que o usuário manteve com eles, isso dará ao pedido uma credibilidade muito mais forte”, aponta Pinkas.
Dicas de proteção contra e-mails de phishing
• Informar aos funcionários sobre as políticas de e-mail corporativo;
• Revisar as práticas recomendadas de segurança de senha;
• Implementar uma solução antiphishing automatizada;
• Educar os funcionários sobre as ameaças atuais de phishing.