Νέο κύμα στοχευμένων επιθέσεων εναντίον του βιομηχανικού και του μηχανολογικού κλάδου σε πολλές χώρες ανά τον κόσμο ανακοίνωσε η Kaspersky. Χρησιμοποιώντας μηνύματα (e-mails) spear-phishing και κακόβουλο λογισμικό με βάση ένα εμπορικό spyware kit, οι εγκληματίες προσπαθούν να αποσπάσουν πολύτιμα επιχειρηματικά δεδομένα που βρίσκονται αποθηκευμένα στα δίκτυα των θυμάτων τους. Πάνω από 130 οργανισμοί από 30 χώρες, μεταξύ των οποίων η Ισπανία, το Πακιστάν, τα Ηνωμένα Αραβικά Εμιράτα, η Ινδία, η Αίγυπτος, το Ηνωμένο Βασίλειο, η Γερμανία, η Σαουδική Αραβία κ.ά., έπεσαν θύματα επιτυχημένων επιθέσεων από τη συγκεκριμένη ομάδα.
Τον Ιούνιο του 2016 οι ερευνητές της Kaspersky Lab εντόπισαν κύμα μηνυμάτων spear-phishing, που περιελάμβαναν κακόβουλα συνημμένα αρχεία. Τα μηνύματα αυτά είχαν αποσταλεί κυρίως σε κορυφαία και σε μεσαία στελέχη πολλών εταιρειών. Τα e-mails που στάλθηκαν από τους εισβολείς φαίνονταν να προέρχονται από μια τράπεζα στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), ενώ έμοιαζαν με συμβουλές πληρωμής από την τράπεζα και περιελάμβαναν ένα συνημμένο έγγραφο SWIFT, αλλά στην πραγματικότητα το συνημμένο αρχείο περιείχε κακόβουλο λογισμικό. Περαιτέρω έρευνα που διεξήχθη από ερευνητές της Kaspersky Lab έδειξε ότι η εν λόγω εκστρατεία spear-phishing έχει πιθανότατα οργανωθεί από ομάδα ψηφιακών εγκληματιών που είχε εντοπιστεί πρώτη φορά από τους ερευνητές της εταιρείας τον Μάρτιο του 2015. Οι επιθέσεις του Ιουνίου φαίνεται να είναι η πιο πρόσφατη ενέργεια αυτής της ομάδας. Το κακόβουλο λογισμικό που βρίσκεται στο συνημμένο αρχείο βασίζεται στο λογισμικό Hawkeye, ένα spyware πρόγραμμα που διατίθεται εμπορικά και πωλείται στο Darkweb. Το συγκεκριμένο πρόγραμμα παρέχει ευρεία γκάμα εργαλείων που μπορούν να αξιοποιήσουν οι επιτιθέμενοι. Μετά την εγκατάστασή του συλλέγει ενδιαφέροντα στοιχεία από τον υπολογιστή του θύματος, συμπεριλαμβανομένων:
• Πληκτρολογήσεων.
• Αντιγραμμένων δεδομένων στο clipboard.
• Στοιχείων από FTP server.
• Στοιχείων λογαριασμού από προγράμματα περιήγησης.
• Στοιχείων λογαριασμού από πλατφόρμες άμεσων μηνυμάτων (π.χ. Paltalk, GoogleTalk, AIM).
• Στοιχείων λογαριασμού από εφαρμογές e-mails σε πελάτες (π.χ. Outlook, Windows Live Mail).
• Πληροφοριών σχετικά με εγκατεστημένες εφαρμογές (π.χ. Microsoft Office).
Εν συνεχεία αυτά τα δεδομένα αποστέλλονταν στους Command & Control servers του απειλητικού φορέα.
Τον Ιούνιο του 2016 οι ερευνητές της Kaspersky Lab εντόπισαν κύμα μηνυμάτων spear-phishing, που περιελάμβαναν κακόβουλα συνημμένα αρχεία. Τα μηνύματα αυτά είχαν αποσταλεί κυρίως σε κορυφαία και σε μεσαία στελέχη πολλών εταιρειών. Τα e-mails που στάλθηκαν από τους εισβολείς φαίνονταν να προέρχονται από μια τράπεζα στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), ενώ έμοιαζαν με συμβουλές πληρωμής από την τράπεζα και περιελάμβαναν ένα συνημμένο έγγραφο SWIFT, αλλά στην πραγματικότητα το συνημμένο αρχείο περιείχε κακόβουλο λογισμικό. Περαιτέρω έρευνα που διεξήχθη από ερευνητές της Kaspersky Lab έδειξε ότι η εν λόγω εκστρατεία spear-phishing έχει πιθανότατα οργανωθεί από ομάδα ψηφιακών εγκληματιών που είχε εντοπιστεί πρώτη φορά από τους ερευνητές της εταιρείας τον Μάρτιο του 2015. Οι επιθέσεις του Ιουνίου φαίνεται να είναι η πιο πρόσφατη ενέργεια αυτής της ομάδας. Το κακόβουλο λογισμικό που βρίσκεται στο συνημμένο αρχείο βασίζεται στο λογισμικό Hawkeye, ένα spyware πρόγραμμα που διατίθεται εμπορικά και πωλείται στο Darkweb. Το συγκεκριμένο πρόγραμμα παρέχει ευρεία γκάμα εργαλείων που μπορούν να αξιοποιήσουν οι επιτιθέμενοι. Μετά την εγκατάστασή του συλλέγει ενδιαφέροντα στοιχεία από τον υπολογιστή του θύματος, συμπεριλαμβανομένων:
• Πληκτρολογήσεων.
• Αντιγραμμένων δεδομένων στο clipboard.
• Στοιχείων από FTP server.
• Στοιχείων λογαριασμού από προγράμματα περιήγησης.
• Στοιχείων λογαριασμού από πλατφόρμες άμεσων μηνυμάτων (π.χ. Paltalk, GoogleTalk, AIM).
• Στοιχείων λογαριασμού από εφαρμογές e-mails σε πελάτες (π.χ. Outlook, Windows Live Mail).
• Πληροφοριών σχετικά με εγκατεστημένες εφαρμογές (π.χ. Microsoft Office).
Εν συνεχεία αυτά τα δεδομένα αποστέλλονταν στους Command & Control servers του απειλητικού φορέα.
ΚΑΘΗΜΕΡΙΝΗ