Una nueva campaña de spear phishing está tratando de imponer malware a las empresas de energía y sus proveedores con correos electrónicos hábilmente falsificados, que se supone que se utilizarán para espiar los datos de acceso.
Las empresas de energía, petróleo y gas y otras industrias relacionadas son actualmente el foco de una sofisticada campaña de phishing, según la firma de ciberseguridad Intezer. La campaña, que ha estado activa durante al menos un año, tiene como objetivo inyectar malware en las redes de la empresa, que luego espian nombres de usuario, contraseñas y otra información confidencial y la reenvían a los patrocinadores criminales. Según los expertos en seguridad de Intezer, los casos actuales podrían ser la primera fase de una campaña más amplia.
Correos electrónicos de phishing excepcionalmente bien construidos
Llama la atención que los correos electrónicos de phishing descritos hayan sido excepcionalmente bien investigados y, por lo tanto, parezcan legítimos a primera vista. Por ejemplo, contienen referencias a ejecutivos, direcciones de oficinas, logotipos oficiales y solicitudes de cotizaciones, contratos y se refieren a proyectos reales para parecer auténticos. En un caso descrito por los investigadores de seguridad, un proyecto específico de planta de energía se utilizó como cebo en el correo electrónico de phishing. Con campañas tan excelentemente investigadas y preparadas, se habla de spear phishing, porque a diferencia del phishing normal, los delincuentes proceden de manera muy metódica y atacan a un objetivo muy específico, en lugar de difundir sus correos electrónicos lo más posible con la esperanza de que alguien meterse en sus trampas cae.
PDF peligroso adjunto
En el caso actual, se supone que se engaña a las víctimas para que hagan clic en un archivo adjunto disfrazado de PDF. De hecho, sin embargo, es un archivo IMG, ISO o CAB que redirige al usuario a un archivo ejecutable, que a su vez se usa para introducir el malware en la computadora. Se utilizan diversas herramientas de acceso remoto, es decir, software para acceso remoto, como Formbook, Agent Tesla o Loki, que en muchos casos se ofrecen como Malware-as-a-Service. Esto, a su vez, significa que las personas que están detrás de la campaña no desarrollan sus propias herramientas, sino que simplemente las usan a pedido. Los investigadores de seguridad de Intezer advierten que esto tiene como objetivo disfrazar mejor la campaña, ya que el malware alquilado también se usa en otras actividades delictivas. Esto, a su vez, podría ser una indicación de que los casos en cuestión son la primera etapa de una campaña más amplia.
Ataque a empresas de petróleo, gas y energía
Los correos electrónicos se enviaron a empresas internacionales activas en los sectores del petróleo, el gas y la energía, así como en la fabricación y el desarrollo tecnológico. Entre ellos hay víctimas en Estados Unidos, Emiratos Árabes Unidos, Alemania y Corea del Sur. Actualmente no se sabe nada sobre las personas detrás de los ataques.
Desde entonces, se han eliminado o apagado partes de la infraestructura utilizada, pero no es improbable que la campaña siga activa. Por lo tanto, las empresas deben tener mucho cuidado con los correos electrónicos entrantes. Los archivos adjuntos y los enlaces en particular presentan un riesgo que no debe subestimarse, incluso si el remitente y el correo electrónico parecen legítimos.
Más en 8.com
Acerca de 8com El Centro de Ciberdefensa de 8com protege eficazmente las infraestructuras digitales de los clientes de 8com contra los ataques cibernéticos. Incluye gestión de eventos e información de seguridad (SIEM), gestión de vulnerabilidades y pruebas de penetración profesionales. Además, ofrece el desarrollo e integración de un Sistema de Gestión de Seguridad de la Información (SGSI) incluyendo la certificación según estándares comunes. Medidas de sensibilización, formación en seguridad y gestión de respuesta a incidentes completan la oferta.