Una nuova campagna di spear phishing sta tentando di imporre malware alle società energetiche e ai loro fornitori con e-mail abilmente falsificate, che dovrebbero poi essere utilizzate per spiare i dati di accesso.
Le compagnie energetiche, petrolifere e del gas e altri settori correlati sono attualmente al centro di una sofisticata campagna di phishing, secondo la società di sicurezza informatica Intezer. La campagna, attiva da almeno un anno, mira a iniettare malware nelle reti dell'azienda, che poi spiano nomi utente, password e altre informazioni sensibili e le inoltrano ai finanziatori criminali. Secondo gli esperti di sicurezza di Intezer, i casi attuali potrebbero essere la prima fase di una campagna più ampia.
E-mail di phishing eccezionalmente ben costruite
È sorprendente che le e-mail di phishing descritte siano state studiate eccezionalmente bene e quindi a prima vista appaiano legittime. Ad esempio, contengono riferimenti a dirigenti, indirizzi di uffici, loghi ufficiali e richieste di preventivi, contratti e rimandano a progetti reali per apparire autentici. In un caso descritto dai ricercatori di sicurezza, un progetto specifico di una centrale elettrica è stato utilizzato come esca nell'e-mail di phishing. Con campagne così ottimamente studiate e preparate si parla di spear phishing, perché contrariamente al normale phishing, i criminali procedono in modo molto metodico e attaccano un bersaglio ben preciso, invece di diffondere il più possibile le loro e-mail nella speranza che qualcuno entrare nella loro trappola cade.
PDF pericoloso allegato
Nel caso attuale, le vittime dovrebbero essere indotte a fare clic su un allegato camuffato da PDF. In realtà, tuttavia, si tratta di un file IMG, ISO o CAB che reindirizza l'utente a un file eseguibile, che a sua volta viene utilizzato per far entrare il malware nel computer. Vengono utilizzati vari strumenti di accesso remoto, ovvero software per l'accesso remoto, come Formbook, Agent Tesla o Loki, che in molti casi vengono offerti come Malware-as-a-Service. Ciò a sua volta significa che le persone dietro la campagna non sviluppano i propri strumenti da soli, ma li usano semplicemente per ordinare. I ricercatori di sicurezza di Intezer avvertono che questo ha lo scopo di mascherare meglio la campagna, poiché il malware noleggiato viene utilizzato anche in altre attività criminali. Questo, a sua volta, potrebbe essere un'indicazione che i casi in questione sono la prima fase di una campagna più ampia.
Attacco alle compagnie petrolifere, del gas e dell'energia
Le e-mail sono state inviate a società internazionali attive nei settori del petrolio, del gas e dell'energia, nonché nella produzione e nello sviluppo tecnologico. Tra loro vi sono vittime negli Stati Uniti, negli Emirati Arabi Uniti, in Germania e in Corea del Sud. Al momento non si sa nulla delle persone dietro gli attacchi.
Parti dell'infrastruttura utilizzata sono state successivamente rimosse o spente, ma non è improbabile che la campagna sia ancora attiva. Le aziende dovrebbero quindi essere estremamente attente quando si tratta di e-mail in arrivo. Gli allegati ei collegamenti in particolare rappresentano un rischio da non sottovalutare, anche se il mittente e l'e-mail sembrano legittimi.
Altro su 8.com
Informazioni su 8com Il Cyber Defence Center di 8com protegge efficacemente le infrastrutture digitali dei clienti di 8com dagli attacchi informatici. Include la gestione delle informazioni sulla sicurezza e degli eventi (SIEM), la gestione delle vulnerabilità e i penetration test professionali. Inoltre, offre lo sviluppo e l'integrazione di un sistema di gestione della sicurezza delle informazioni (ISMS) inclusa la certificazione secondo standard comuni. Misure di sensibilizzazione, formazione sulla sicurezza e gestione della risposta agli incidenti completano l'offerta.