Recientemente, Check Point Research (CPR) descubrió una campaña de ataques cibernéticos en curso y dirigida a las empresas automotrices alemanas. Los ataques fueron diseñados para implementar varios tipos de malware para robar información. Los actores de amenazas detrás de la operación registraron múltiples dominios similares, todos imitando negocios automotrices alemanes existentes. Posteriormente, los dominios se usaron para enviar correos electrónicos de phishing y para alojar la infraestructura de malware. CPR rastreó el principal sitio de alojamiento de malware hasta un sitio web no gubernamental alojado en Irán.

Metodología de ataque
Los atacantes configuraron servidores de correo usando dominios concernientes al tema y los usaron para enviar correos electrónicos que hacían referencia a varias ofertas de automóviles. A partir de ahí, adjuntaron documentos a los correos electrónicos relacionados con supuestos tratos, como contratos y recibos. Estos “documentos” de archivos HTA se guardaron en archivos ISO/IMG. Una vez que se abre, los delincuentes descargan y ejecutan malware de robo de información en el equipo de los objetivos.

Atribución
La identidad de los actores de amenazas aquí no está clara. CPR encontró ciertas conexiones con entidades no estatales iraníes, pero no está claro si eran sitios legítimos que estaban comprometidos o si tenían una conexión más sustancial con esta operación.

Ejemplo de correo electrónico malicioso:
Un correo electrónico recibido de kontakt@autohous-lips [.].de se hace pasar por una empresa existente, con un nombre de dominio real autohaus-lips[.]de. Para una persona que no habla alemán, redactar un correo electrónico, un contrato o un recibo que parezcan auténticos y se vean convincentes para un lugareño no es una tarea fácil. Muchos ataques son detectables en esta etapa, fallando la barrera de la "ingeniería social".

Recomendaciones de ciberseguridad:
· Informar a los empleados sobre las políticas corporativas de correo electrónico
· Revisar las mejores prácticas de seguridad de contraseñas
· Implementar una solución anti-phishing automatizada

Yoav Pinkas, Investigador de seguridad en Check Point Software afirma: “Descubrimos un ataque dirigido a empresas alemanas, principalmente concesionarios de automóviles. Los actores de amenazas están utilizando una vasta infraestructura diseñada para imitar a las empresas alemanas existentes. Los atacantes utilizaron correos electrónicos de phishing, con una combinación de cargas útiles ISO\HTA, que, si se abrían, infectarían a las víctimas con varios programas maliciosos para robar información”.

“No tenemos evidencia concluyente de la motivación de los atacantes, pero creemos que fue más que simplemente recolectar detalles de tarjetas de crédito o información personal. Los objetivos se seleccionan cuidadosamente y la forma en que se envían los correos electrónicos de phishing permitiría la correspondencia entre las víctimas y los atacantes. Una posibilidad es que los atacantes estuvieran tratando de comprometer a los concesionarios de automóviles y usar su infraestructura y datos para obtener acceso a objetivos secundarios como proveedores y fabricantes más grandes. Eso sería útil para fraudes BEC (Business, Email Compromise) o espionaje industrial”.