Uma nova campanha de spear phishing está tentando impingir malware a empresas de energia e seus fornecedores com e-mails habilmente falsificados, que deveriam ser usados para espionar dados de acesso.
As empresas de energia, petróleo e gás e outras indústrias relacionadas são atualmente o foco de uma sofisticada campanha de phishing, de acordo com a empresa de segurança cibernética Intezer. A campanha, que está ativa há pelo menos um ano, visa injetar malware nas redes da empresa, que então espiam nomes de usuários, senhas e outras informações confidenciais e as encaminham aos criminosos. De acordo com especialistas em segurança da Intezer, os casos atuais podem ser a primeira fase de uma campanha maior.
E-mails de phishing excepcionalmente bem construídos
É surpreendente que os e-mails de phishing descritos tenham sido excepcionalmente bem pesquisados e, portanto, pareçam legítimos à primeira vista. Por exemplo, contêm referências a executivos, endereços de escritórios, logotipos oficiais e pedidos de cotação, contratos e referem-se a projetos reais para parecerem autênticos. Em um caso descrito pelos pesquisadores de segurança, um projeto de usina elétrica específico foi usado como isca no e-mail de phishing. Com campanhas tão bem pesquisadas e preparadas, fala-se em spear phishing, porque ao contrário do phishing normal, os criminosos agem de forma muito metódica e atacam um alvo muito específico, em vez de espalharem os seus e-mails o mais amplamente possível na esperança de que alguém entrar em suas armadilhas cai.
PDF perigoso anexado
No caso atual, as vítimas devem ser induzidas a clicar em um anexo disfarçado de PDF. Na verdade, porém, é um arquivo IMG, ISO ou CAB que redireciona o usuário para um arquivo executável, que por sua vez é usado para colocar o malware no computador. São utilizadas várias ferramentas de acesso remoto, ou seja, software para acesso remoto, como Formbook, Agent Tesla ou Loki, que em muitos casos são oferecidos como Malware-as-a-Service. Isso, por sua vez, significa que as pessoas por trás da campanha não desenvolvem suas próprias ferramentas, mas simplesmente as usam sob encomenda. Os pesquisadores de segurança da Intezer alertam que isso visa disfarçar melhor a campanha, já que o malware alugado também é usado em outras atividades criminosas. Isso, por sua vez, pode ser uma indicação de que os casos em questão são a primeira etapa de uma campanha maior.
Ataque a empresas de petróleo, gás e energia
Os e-mails foram enviados para empresas internacionais atuantes nos setores de petróleo, gás e energia, bem como na manufatura e desenvolvimento de tecnologia. Entre eles estão vítimas nos Estados Unidos, Emirados Árabes Unidos, Alemanha e Coreia do Sul. Nada se sabe atualmente sobre as pessoas por trás dos ataques.
Partes da infraestrutura utilizada já foram removidas ou desativadas, mas não é improvável que a campanha ainda esteja ativa. As empresas devem, portanto, ser extremamente cuidadosas quando se trata de e-mails recebidos. Anexos e links em particular representam um risco que não deve ser subestimado, mesmo que o remetente e o e-mail pareçam legítimos.
Mais em 8.com
Sobre 8com O 8com Cyber Defense Center protege efetivamente as infraestruturas digitais dos clientes da 8com contra ataques cibernéticos. Inclui informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de vulnerabilidades e testes de penetração profissionais. Além disso, oferece o desenvolvimento e integração de um Sistema de Gestão de Segurança da Informação (ISMS) incluindo certificação de acordo com padrões comuns. Medidas de conscientização, treinamento de segurança e gerenciamento de resposta a incidentes completam a oferta.