Una vasta e sofisticata campagna cyber sta prendendo di mira le grandi aziende internazionali nei settori dell’energia, del petrolio e del gas e dell’elettronica.
La campagna, attiva da almeno un anno, è stata individuata dai ricercatori di Intezer. L’attacco prende di mira i fornitori di petrolio e gas, indicando forse che questa è solo la prima fase di una campagna più ampia.
I ricercatori hanno identificato una serie di file IMG con nomi relativi alle industrie del settore energetico, all’interno dei quali sono presenti prevalentemente malware .NET.
Il metodo di distribuzione di questo malware sembra essere e-mail di spear phishing o typosquat, con un file IMG, ISO o CAB ((formati comunemente utilizzati dagli aggressori per eludere il rilevamento da scanner antivirus basati su e-mail) incluso come allegato e inviato a obiettivi specifici.
Le e-mail di phishing sono preparate su misura per i dipendenti di ciascuna azienda presa di mira. Il contenuto e il mittente delle e-mail sono stati creati per farle sembrare che vengano inviati da un’altra azienda del settore in questione che offre una partnership o un’opportunità commerciale, una normale corrispondenza business-to-business (B2B).
Nella maggior parte di queste e-mail, il nome del file e l’icona dell’allegato imitano un PDF. Lo scopo è rendere il file meno sospetto, invogliando l’individuo preso di mira ad aprirlo e leggerlo.
Una volta che la vittima apre l’allegato e fa clic su uno dei file contenuti, vengono rubate le informazioni. Il malware rilasciato è generalmente in grado di rubare informazioni private, registrare i log keyboard e rubare i dati di navigazione.
In caso di violazione riuscita, l’attaccante potrebbe utilizzare l’account e-mail compromesso della ricevuta per inviare e-mail di spear phishing alle aziende che lavorano con il fornitore e sfruttare la reputazione consolidata del fornitore per perseguire entità più mirate.
La campagna si rivolge ad aziende di tutto il mondo, inclusi Stati Uniti, Emirati Arabi Uniti (EAU) e Germania, ma i suoi obiettivi primari sono le aziende sudcoreane. Le industrie mirate sono di ampia portata – energia, gasolio, tecnologie dell’informazione, produzione e media – ma principalmente focalizzate sul settore energetico.