Хакеры почти год атакуют немецких автопроизводителей и автодилеров

Специалисты ИБ-компании Check Point рассказали о фишинговой кампании, направленной против немецких автопроизводителей и автодилеров. Кампания началась примерно в июле прошлого года и активна до сих пор.

Злоумышленники зарегистрировали множество поддельных доменов, похожих на настоящие сайты легитимных организаций, и используют их для рассылки фишинговых писем, содержащих вредоносное ПО для похищения данных.

Цепочка заражения начинается с отправки жертве фишингового письма с ISO-файлом образа диска, обходящим многие внутренние механизмы безопасности. Письма, отправляемые автодилерам, могут содержать, например, поддельные квитанции о передаче автомобиля.

Пока жертва просматривает поддельный документ, открытый файлом HTA, в фоновом режиме выполняется код, извлекающий и запускающий вредоносное ПО.

Специалисты обнаружили несколько версий таких скриптов. Одни из них запускают PowerShell-код, другие являются обфусцированными, а третьи представлены в текстовом виде. Все они загружают и выполняют различные инфостилеры, распространяющиеся в хакерском сообществе по бизнес-модели «вредоносное ПО как услуга» (Malware as a Service, MaaS).

В частности, используются такие MaaS-инфостилеры, как Raccoon Stealer, AZORult и BitRAT, которые можно купить в даркнете и на хакерских форумах.

Исследователи выявили 14 немецких предприятий, ставших жертвами данной кампании, но названия их не сообщили.

По словам экспертов, за атаками могут стоять киберпреступники из Ирана, но у них нет достаточно доказательств для того, чтобы утверждать это со стопроцентной уверенностью.

Целью кампании предположительно являются промышленный шпионаж или мошенничество с корпоративной электронной почтой (BEC).