Campaniile de phishing nișate – ,,Combinatorul”

Campaniile de phishing nișate – ,,Combinatorul”

Ce este phishing-ul?

Phishing-ul este un tip de atac informatic care are ca scop obținerea datelor personale, date de la cardul de credit, parole pentru conturi etc. Există mai multe modalități de a obține aceste informații de la utilizator.

Cea mai frecventată metodă este folosirea poștei electronice sau a site-ului clonă. Utilizatorul primește pe mail un mesaj ce pare autentic (adesea o factură sau un document ce imită unul oficial) iar în interiorul mailului se poate afla un virus.

Poți citi mai multe despre phishing chiar aici.

Într-o singură lună, am primit pe adresa raport[at]hackout.ro, peste 100 de campanii de phishing și dorim pe această cale să mulțumim tuturor persoanelor care au ales să ne raporteze aceste campanii.

Campania care ne-a atras atenția în această saptămână, denumită de către echipa noastra ,,Combinatorul„, reprezintă o campanie targetată în mod specific pentru România, atacatorii fiind chiar cetățeni români, iar virusul folosit nu este detectat încă de toți antivirușii.

Combinatorul

Cum o poți recunoaște?

În general atacatorii folosesc nume sugestive de genul Factură, Proforma, Chitanță, Propunere etc. Alături de aceste cuvinte cheie se adaugă în funcție de domeniul/nișa targetată alte cuvinte precum Combinator, Echipamente electrice, Laptop, Utilaj, Servicii, Curățătorie etc. Toate aceste bunuri se află pe lista de interes pentru firma vizată de către atacatori.

În cazul de față, metoda combinatorului folosea titlul FACTURA COMBINATOR, iar in interiorul mailului se regăseau următoarele indicații:

 

Evident, în momentul în care victima apasă click pe linkul din mail, este redirecționată pe cloud de Dropbox și se descarcă automat un fișier care conține un virus.

Atașat acestui mail, atacatorii au plasat strategic o poza de dimensiuni foarte mici care imită un thumbnail al unei facturi pentru a părea cât mai legitim.

 

Cine sunt victimele?

Victimele în cazul investigat de noi sunt persoane juridice care dețin firme agricole în județul Prahova.

Atacatorii au găsit mailurile firmelor pe o listă cu firme din Prahova care desfășoară exploatații agricole, publicată pe site-ul oficial al Direcției pentru Agricultură Prahova (http://dadrph.ro/).

Cine sunt atacatorii?

Echipa noastră a identificat atacatorii ca fiind cetățeni români, iar virusul depistat în spatele acestei campanii este de tip Backdoor.

După o analiză amănunţită, echipa noastră a depistat multiple asemănări între acest virus si virusul deja bine cunoscut pe internet sub numele Njrat*(prima apariție – 2013).

Deși este destul de vechi, versiunea gasită în această campanie este una modificată (obsfucată) pentru a nu fi detectată de antiviruși.

Acesta este un virus de tip RAT ( Remote Administration Tool), adică este capabil să monitorizeze, stocheze și să interacționeze cu terminalul infectat de la distanță, fără ca victima să remarce acest lucru.

Indicatori

A fost detectat ca amenințare de către 24/72 de soluții de securitate.

  • Kaspersky l-a detectat ca Backdoor.MSIL.NanoBot.apyi
  • Malwarebytes ca Trojan.MalPack.Generic
  • Avast ca Win32:Trojan-gen
  • Bitdefender nu l-a detectat

Ce recomandăm?

  • Verificați mereu expeditorul mailului
  • Nu vă lăsa-ți păcăliți de domenii derivate (facebook.secu.ro / paypal.secure-pay-today.com)
  • Verificați link-urile înainte de a apăsa un buton
  • Încercați butoanele auxiliare (cele pe font mic)
  • Folosiți un antivirus
  • Dacă aveți orice fel de dubiu, contactați un specialist

Impactul național

La nivel național, campania a avut mai multe forme, virusul a fost distribuit în segmente de piață precum

  • agricultură
  • resurse umane / recrutări
  • imobiliare
  • distribuție

În total, la nivel național, hackerii au atacat prin această metodă peste 1.000 de companii mici și mijlocii.

Din acestea, noi am reușit să notificăm peste 600 de administratori ai companiilor afectate și să oprim la timp expansiunea acestui virus.

Momentan, campania de phishing este în desfășurare, iar virusul încă nu este detectat de către toate soluțiile de securitate.

Din păcate, astfel de campanii au loc zilnic, nu avem resursele necesare pentru a analiza și a notifica toate victimele așa ca ne rezumăm doar la atacurile ce provin din România sau care sunt mult mai avansate și nu sunt încă depistate de antiviruși.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Despre autor

Discuții

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Îți place securitate cibernetică?

Intră în comunitatea Hackout de pe Discord și inițiază discuții cu alți pasionați de cybersecurity. Aici postăm toate informațiile despre evenimente, CTFs, știri, joburi etc.